Meniu
AcasăTelefon

Virusul ransomware WannaCry: ce să faci? Ca un virus @ [email protected] infectează computerele? Virușii Adylkuzz și Uiwix

Virusul WannaCry a fulgerat în întreaga lume pe 12 mai, în această zi o serie de instituții medicale din Marea Britanie anunțând că rețelele lor au fost infectate, compania spaniolă de telecomunicații și Ministerul rus al Afacerilor Interne au raportat că au respins un atac de hacker.

WannaCry (oamenii de rând l-au poreclit deja Wona's Edge) aparține categoriei de viruși ransomware (criptori), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, făcând ulterior imposibilă citirea acestor fișiere.

În prezent, se știe că următoarele extensii de fișiere populare sunt supuse criptării WannaCry:

  1. Fișiere Microsoft Office populare (.xlsx, .xls, .docx, .doc).
  2. Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - cum se răspândește virusul

Mai devreme, am menționat această metodă de răspândire a virușilor într-un articol despre, așa că nimic nou.

O scrisoare cu un atașament „inofensiv” ajunge la cutia poștală a utilizatorului - ar putea fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea o extensie de fișier executabil - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului.

Este posibil ca aceasta să nu fie singura metodă de răspândire a WannaCry - puteți deveni o victimă descărcând fișiere „infectate” pe rețelele sociale, trackere de torrent și alte site-uri.

WannaCry – cum să te protejezi de virusul ransomware

1. Instalați un patch pentru Microsoft Windows. Pe 14 mai, Microsoft a lansat un patch de urgență pentru următoarele versiuni - Vista, 7, 8.1, 10, Windows Server. Puteți instala acest patch pur și simplu rulând o actualizare de sistem prin serviciul Windows Update.

2. Utilizarea unui software antivirus cu baze de date actualizate. Dezvoltatorii de software de securitate cunoscuți, cum ar fi Kaspersky, Dr.Web, au lansat deja o actualizare pentru produsele lor care conține informații despre WannaCry, protejându-și astfel utilizatorii.

3. Salvați datele importante pe un mediu separat. Dacă computerul dvs. nu îl acceptă încă, puteți salva cele mai importante fișiere pe un mediu separat (unitate flash, disc). Cu această abordare, chiar dacă deveniți o victimă, veți salva cele mai valoroase fișiere din criptare.

În acest moment, acestea sunt toate metodele eficiente de protecție împotriva WannaCry.

WannaCry decryptor, de unde să descărcați și este posibil să eliminați virusul?

Virușii ransomware aparțin categoriei celor mai „urât” viruși, deoarece... în majoritatea cazurilor, fișierele utilizator sunt criptate cu o cheie de 128 de biți sau 256 de biți. Cel mai rău lucru este că în fiecare caz cheia este unică, iar decriptarea fiecăreia necesită o putere de calcul enormă, ceea ce face aproape imposibilă tratarea utilizatorilor „obișnuiți”.

Dar ce se întâmplă dacă devii o victimă a WannaCry și ai nevoie de un decriptor?

1. Contactați forumul de asistență Kaspersky Lab - https://forum.kaspersky.com/ cu o descriere a problemei. Forumul este alcătuit atât din reprezentanți ai companiei, cât și din voluntari care ajută în mod activ la rezolvarea problemelor.

2. Ca și în cazul cunoscutului criptator CryptXXX, a fost găsită o soluție universală pentru decriptarea fișierelor care au fost criptate. Nu a trecut mai mult de o săptămână de când a fost descoperită WannaCry, iar specialiștii din laboratoarele antivirus nu au reușit încă să găsească o astfel de soluție pentru aceasta.

3. Soluția drastică ar fi eliminarea completă a sistemului de operare de pe computer, urmată de o instalare curată a unuia nou. În această situație, toate fișierele și datele utilizatorului se pierd complet, împreună cu eliminarea WannaCry.

Dacă computerul care rulează sistemul de operare Windows nu a fost repornit, atunci datele de pe acesta pot fi salvate ocolind răscumpărarea cerută de virusul WannaCry. Cheia soluției constă în sistemul de operare în sine, spun Adrien Guinet, specialistul în securitate pe internet Quarkslab, hacker-ul de renume mondial Matt Suiche și freelancerul Benjamin Delpy. Sistemul în sine împiedică distrugerea fișierelor după termenul limită stabilit pentru plata răscumpărării. Această metodă este utilizată în toate versiunile de Windows. Experții au numit noul instrument pentru salvarea datelor Wanakiwi. În a lui blog Matt Suich a publicat detalii despre utilizarea unei metode deschise de combatere a virusului, descriind toate detaliile tehnice.

Nu toate fișierele nu sunt recuperabile

Acest lucru explică de ce s-au susținut că anumite instrumente sunt disponibile pentru a decripta toate fișierele blocate de WannaCry. Din păcate, din analiza noastră a modului în care funcționează acest ransomware, se pare că doar câteva fișiere criptate cu cheia demo pot fi decriptate de instrument.

Dar poate exista ceva speranta. Fișierele stocate pe desktop, Documentele mele sau orice unități amovibile de pe computer în timpul infecției sunt suprascrise cu date generate aleatoriu și șterse. Aceasta înseamnă că nu pot fi recuperate utilizând File Recovery sau Disk Recovery.

Cu toate acestea, din cauza posibilelor slăbiciuni ale malware-ului, este posibil să se recupereze alte fișiere criptate de pe sistem atunci când au fost salvate în afara acestor trei locații folosind instrumentul de recuperare disc, deoarece majoritatea fișierelor sunt mutate într-un folder temporar și apoi sunt șterse de obicei, dar nu este suprascris de curățător. Cu toate acestea, rata de recuperare poate varia între sisteme, deoarece fișierul șters poate fi suprascris de alte operațiuni pe disc.

Pe scurt, este posibil să recuperați unele fișiere care au fost criptate cu WannaCrypt, dar care nu au plătit răscumpărarea, dar recuperarea tuturor fișierelor fără o copie de rezervă pare în prezent imposibilă.

Ca o notă de securitate, fiți atenți la orice servicii care oferă decriptare a tuturor fișierelor etc., deoarece aceste decriptoare pot fi ascunse de malware.

Am testat recuperarea fișierelor folosind instrumentul de recuperare a discului Disk Drill, captura de ecran de mai jos arată fișierele șterse care au fost detectate și recuperate folosind acest instrument:

Uneori, creatorii de ransomware fac greșeli în codul lor. Aceste erori pot ajuta victimele să recâștige accesul la fișierele lor după infectare. Articolul nostru descrie pe scurt mai multe greșeli făcute de dezvoltatorii ransomware-ului WannaCry.

Erori în logica de ștergere a fișierelor

Când Wannacry criptează fișierele de pe computerul unei victime, citește conținutul fișierului original, îl criptează și îl salvează într-un fișier cu extensia „.WNCRYT”. După terminarea procesului de criptare, acesta mută fișierul cu extensia „.WNCRYT” într-un fișier „.WNCRY” și șterge fișierul original. Logica din spatele acestei ștergeri poate varia în funcție de locația și proprietățile fișierelor originale.

Când localizați fișiere pe unitatea de sistem:

Dacă fișierul se află într-un folder „important” (din punctul de vedere al dezvoltatorilor de ransomware, de exemplu, pe desktop sau în folderul Documente), atunci înainte de a fi șters, peste el vor fi scrise date aleatorii. În acest caz, nu există nicio modalitate de a restabili conținutul fișierului original.

Dacă fișierul este stocat în afara folderelor „importante”, fișierul original va fi mutat în folderul %TEMP%\%d.WNCRYT (unde %d este o valoare numerică). Un astfel de fișier conține datele originale, peste care nu este scris nimic - este pur și simplu șters de pe disc. Prin urmare, există o mare probabilitate ca acesta să poată fi recuperat folosind programe de recuperare a datelor.

Fișierele originale redenumite care pot fi restaurate din directorul %TEMP%.

Când localizați fișiere pe alte unități (non-sistem):

  • Ransomware-ul creează folderul „$RECYCLE” și îi setează atributele „ascuns” și „sistem”. Ca rezultat, folderul devine invizibil în Windows Explorer dacă configurația Explorer este setată la implicit. Conform planului, fișierele originale vor fi mutate în acest folder după criptare.

O procedură care definește un director temporar pentru a stoca fișierele originale înainte de ștergere

  • Cu toate acestea, din cauza erorilor de sincronizare din codul ransomware, fișierele originale rămân în multe cazuri în același director și nu sunt mutate în folderul $RECYCLE.
  • Fișierele originale nu sunt șterse în siguranță. Acest fapt face posibilă recuperarea fișierelor șterse folosind programe de recuperare a datelor.

Fișierele originale care pot fi recuperate de pe o unitate care nu este de sistem

Procedură care generează o cale temporară pentru fișierul original

Secțiune de cod care apelează procedurile descrise mai sus

Eroare la procesarea fișierelor protejate la scriere

În timp ce analizăm WannaCry, am descoperit și că ransomware-ul a avut o eroare în procesarea fișierelor protejate la scriere. Dacă există astfel de fișiere pe computerul infectat, ransomware-ul nu le va cripta deloc: vor fi create copii criptate ale fiecărui astfel de fișier, iar fișierele originale vor primi doar atributul „ascuns”. În acest caz, ele pot fi ușor găsite și restaurate la atributele lor normale.

Fișierele originale protejate la scriere nu sunt criptate și nu sunt mutate nicăieri

Concluzii

Ca rezultat al studiului nostru aprofundat al acestui ransomware, devine clar că dezvoltatorii săi au făcut multe greșeli, iar calitatea codului este destul de scăzută, așa cum am menționat mai sus.

Dacă computerul dvs. a fost infectat de WannaCry ransomware, există șanse mari să puteți recupera multe dintre fișierele criptate. Pentru a face acest lucru, puteți utiliza utilitare gratuite de recuperare a fișierelor.

Pe 12 mai, mai multe companii și departamente din diferite țări ale lumii, inclusiv Rusia, au fost expuse unui virus ransomware. Specialiștii în securitatea informațiilor au identificat virusul WanaCrypt0r 2.0 (aka WCry și WannaCry), care criptează anumite tipuri de fișiere și modifică extensiile acestora în .WNCRY.

Calculatoarele infectate cu WannaCry sunt blocate cu o casetă de mesaj care spune că utilizatorul are 3 zile pentru a plăti răscumpărarea (de obicei echivalentul a 300 USD în Bitcoin), după care prețul va fi dublat. Dacă nu plătiți banii în 7 zile, fișierele vor fi imposibil de recuperat.

WannaCry vizează doar computerele bazate pe Windows. Acesta exploatează o vulnerabilitate care a fost corectată de Microsoft în martie. Acele dispozitive care nu aveau instalat cel mai recent patch de securitate au fost atacate. Calculatoarele utilizatorilor obișnuiți, de regulă, sunt actualizate prompt, dar în organizațiile mari specialiști speciali sunt responsabili pentru actualizarea sistemelor, care sunt adesea suspicioși de actualizări și amână instalarea acestora.

WannaCry aparține categoriei de viruși ransomware este un criptator care, în fundal, fără ca utilizatorul să știe, criptează fișierele și programele importante și le schimbă extensiile, iar apoi solicită bani pentru decriptare. Fereastra de blocare arată o numărătoare inversă până când fișierele vor fi blocate sau șterse definitiv. Un virus poate pătrunde pe un computer printr-un atac de la distanță printr-o vulnerabilitate cunoscută de hackeri și care nu este închisă în sistemul de operare. Codul virusului este activat automat pe mașina infectată și contactează serverul central, primind instrucțiuni despre ce informații să fie afișate. Uneori este suficient ca hackerii să infecteze un singur computer și răspândește virusul prin rețeaua locală către alte mașini.

Potrivit The Intercept, WannaCry se bazează pe instrumente scurse care au fost folosite de Agenția de Securitate Națională a SUA. Aparent, pentru a injecta virusul în computere, hackerii au folosit o vulnerabilitate în Windows, care anterior era cunoscută doar de agențiile de informații americane.

Virusul WannaCry este periculos pentru că se poate recupera chiar și după formatarea hard disk-ului, adică probabil își scrie codul într-o zonă ascunsă utilizatorului.

O versiune timpurie a acestui virus a fost numită WeCry, a apărut în februarie 2017 și a extorcat 0,1 Bitcoin (177 USD la cursurile de schimb curente). WanaCrypt0r este o versiune îmbunătățită a acestui malware, în care atacatorii pot specifica orice cantitate și o pot crește în timp. Dezvoltatorii virusului sunt necunoscuți și nu este sigur că aceștia se află în spatele atacurilor. S-ar putea să vândă malware-ul oricui îl dorește, primind o plată unică.

Se știe că organizatorii atacului din 12 mai au primit în total cel puțin 3,5 bitcoini, adică puțin mai mult de 6 mii de dolari, de la două duzini de victime. Nu se știe dacă utilizatorii au putut să-și deblocheze computerele și să returneze fișiere criptate. Cel mai adesea, victimele hackerilor care plătesc o răscumpărare primesc o cheie sau un instrument de decriptare a fișierelor, dar uneori nu primesc nimic în schimb.

Pe 12 mai, Microsoft a lansat un patch de securitate pentru a detecta și neutraliza virusul Ransom:Win32/Wannacrypt. Poate fi instalat prin Windows Update. Pentru a vă proteja computerul de WannaCry, trebuie să instalați toate actualizările Windows și să vă asigurați că antivirusul Windows Defender încorporat rulează. În plus, ar fi o idee bună să copiați toate datele valoroase în cloud. Chiar dacă sunt criptate pe computer, le puteți recupera din stocarea în cloud sau din coșul de reciclare, unde merg fișierele șterse.

Nu ai nevoie de multe – instalează actualizările necesare pentru Windows (sau un patch special pentru sistemele care nu mai sunt suportate) și urmează reguli simple de siguranță pe Internet. Cu toate acestea, ce ar trebui să faceți dacă computerul dvs. a fost deja deteriorat de programe malware și fișierele de pe el sunt criptate și nu există copii de rezervă? Experții în securitate nu recomandă categoric să plătească infractorii cibernetici - în primul rând, aceste acțiuni vor încuraja doar atacatorii; în al doilea rând, nu există nicio garanție că în acest fel puteți returna efectiv accesul la informații, iar suma transferată (care este de cel puțin 300 USD) nu va fi irosită. Cu toate acestea, astăzi există deja programe care vă permit să decriptați datele codificate de un virus fără a plăti o răscumpărare. Unul dintre ele se numește WannaKey, dar funcționează doar sub Windows XP. Cercetătorul francez Benjamin Delpy și-a creat propriul instrument pe baza acestuia, care se numește WannaKiwi și este potrivit nu numai pentru Windows XP, ci și pentru Windows Server 2003 și Windows 7. În plus, teoretic, aplicația ar trebui să funcționeze pe Windows Vista, 2008 și 2008 R2.

Principiul prin care funcționează WannaKiwi este similar cu algoritmul WannaKey. Se bazează pe faptul că, după activarea malware-ului, numerele prime ale cheii de criptare sunt stocate pe computer, iar WannaKiwi le poate găsi și le poate folosi pentru a recupera cheia în sine. Cu toate acestea, pentru ca acest lucru să funcționeze, trebuie să aplicați WannaKiwi cât mai curând posibil după infectare, fără a reporni computerul. Dacă aceste condiții nu sunt îndeplinite, atunci componentele necesare pentru a „reconstrui” cheia vor fi cel mai probabil suprascrise, iar utilitatea lui Benjamin Delpy va fi neputincioasă.

Cu toate acestea, în timp ce luptătorii pentru securitatea computerelor căutau un „leac” pentru WannaCry, nici autorii de viruși nu stăteau inactiv. Zilele trecute, cercetătorii au descoperit o nouă „tulpină” de malware care folosește același mecanism de distribuție ca și faimosul WannaCry, care a provocat mult zgomot în urmă cu mai bine de o săptămână. I s-a dat numele EternalRocks și se bazează și pe exploit-ul EternalBlue, creat de Agenția de Securitate Națională a SUA, dar care a căzut în mâinile hackerilor. În același timp, EternalRocks folosește încă șase instrumente, inclusiv EternalChampion, EternalRomance și DoublePulsar. Potrivit unor surse, toate au fost dezvoltate tot de NSA, iar datorită lor, noul virus se va putea răspândi mai repede și va infecta mai multe computere. Este adevărat, până acum mostrele găsite nu reprezintă nicio amenințare, deoarece nu conțin elemente distructive în codul lor, cum ar fi, de exemplu, un criptator de fișiere. Cu toate acestea, acest lucru nu înseamnă că ulterior atacatorii nu vor putea lansa de la distanță aceste mecanisme pe mașinile infectate.

Astăzi, probabil, doar oamenii foarte departe de Internet nu cunosc infecțiile în masă ale computerelor cu troianul de criptare WannaCry („Vreau să plâng”), care a început pe 12 mai 2017. Și aș împărți reacția celor care știu în 2 categorii opuse: indiferența și panica. Ce înseamnă acest lucru?

Iar faptul că informațiile fragmentare nu oferă o înțelegere completă a situației dă naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați de infecție și cum să decriptați fișierele deteriorate de WannaCry, articolul de astăzi îi este dedicat.

Este „diavolul” chiar atât de înfricoșător?

Nu înțeleg despre ce este toată agitațiaVrei să plângi? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un malware cibernetic obișnuit. Motivul notorietății sale îl reprezintă pagubele gigantice cauzate. Potrivit Europol, acesta a perturbat funcționarea a peste 200.000 de computere care rulează Windows în 150 de țări, iar pagubele suferite de proprietarii acestora s-au ridicat la peste 1.000.000.000 de dolari și asta doar în primele 4 zile de distribuție. Majoritatea victimelor se află în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri web pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Am si eu o problema. Când apar viruși pe computer, rulez utilitarul *** și după o jumătate de oră totul este în regulă. Și dacă nu ajută, reinstalez Windows.

Virusul este diferit de virus. WannaCry este un troian ransomware, un vierme de rețea care se poate răspândi prin rețelele locale și pe internet de la un computer la altul fără intervenția umană.

Majoritatea programelor malware, inclusiv ransomware-ul, începe să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. Pentru a vă infecta cu WannaCry, nu trebuie să faceți absolut nimic!

Odată ajuns pe un computer Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj care cere o răscumpărare de 300-600 USD, care trebuie transferat în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere, iar dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copiile de rezervă ale fișierelor stocate pe mașinile învecinate devin și ele inutilizabile.

Eliminarea unui virus de pe un computer nu decriptează fișierele! Reinstalarea si sistemul de operare. Dimpotrivă, dacă sunt infectate cu ransomware, ambele aceste acțiuni vă pot lipsi de capacitatea de a recupera fișiere chiar dacă aveți o cheie validă.

Deci da, „la naiba” este destul de înfricoșător.

Cum se răspândește WannaCry

Tu minți. Un virus poate intra pe computerul meu doar dacă îl descarc eu. Și sunt vigilent.

Multe programe malware sunt capabile să infecteze computerele (și dispozitivele mobile, de altfel, de asemenea) prin vulnerabilități - erori în codul componentelor sistemului de operare și al programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. WannaCry, în special, se răspândește printr-o vulnerabilitate de 0 zile în protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate în momentul în care au fost exploatate de malware/spyware).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

  • Conexiuni la o rețea în care există alte mașini infectate (Internet).
  • Prezența lacunei descrise mai sus în sistem.

De unde a apărut această infecție? Este aceasta opera hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru autenticitate), Agenția Națională de Securitate din SUA a fost prima care a descoperit o defecțiune în protocolul de rețea SMB, care este folosit pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să o raporteze la Microsoft, astfel încât să poată remedia eroarea, NSA a decis să o folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe site-ul intel.malwaretech.com

Ulterior, această exploatare (cu nume de cod EternalBlue), care a servit de ceva timp NSA să pătrundă în computere fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creării ransomware-ului WannaCry. Adică, datorită acțiunilor nu în întregime legale și etice ale agenției guvernamentale americane, scriitorii de virusi au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Pentru ce este necesar când totul funcționează fără ele.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei a fost absența la acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru a-l dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore de la lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului de atacul WannaCry și cum să vă protejați împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, operat deWindows 7. Am „zece”, ceea ce înseamnă că nu sunt în pericol.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt susceptibile la infecția cu WannaCry. Acest:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Astăzi, utilizatorii sistemelor pe care nu este instalat (disponibil pentru descărcare gratuită de pe site-ul web technet.microsoft.com, către care este furnizat linkul) riscă să capteze malware în rețea. Pot fi descărcate corecții pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate. De asemenea, descrie modalități de a verifica prezența unei actualizări salvatoare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win+R și rulați comanda winver.

Pentru a spori securitatea și dacă nu este posibilă actualizarea sistemului acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. În plus, dar nu neapărat, puteți închide portul TCP 445, care servește SMB, prin firewall.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

Răspândirea WannaCry poate avea loc nu numai prin metoda autopropulsată descrisă mai sus, ci și în modurile obișnuite - prin rețele sociale, e-mail, resurse web infectate și de phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, nici un antivirus, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ce vrea. Am un prieten care este programator, el va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia folosind forța brută.

Ei bine, criptează câteva fișiere, deci ce? Acest lucru nu mă va împiedica să lucrez la computer.

Din păcate, nu va decripta, deoarece nu există modalități de a sparge algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și va cripta nu doar câteva fișiere, ci aproape totul.

Nu voi oferi o descriere detaliată a funcționării malware-ului oricine este interesat poate citi analiza acestuia, de exemplu, în. Voi nota doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

După cum puteți vedea, există documente, fotografii, video-audio, arhive, e-mail și fișiere create în diferite programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate primesc extensie dublă cu postscriptura WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] – se presupune că pentru decriptare după răscumpărare, precum și un document text @[email protected] cu un mesaj pentru utilizator.

Apoi, încearcă să distrugă copiile umbre și punctele de restaurare Windows. Dacă sistemul rulează UAC, utilizatorul trebuie să confirme această operație. Dacă respingeți solicitarea, există în continuare șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, după care le șterge de pe computer. Pentru a căuta alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată găsite, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii cunosc mai multe modificări ale WannaCry cu mecanisme de distribuție diferite și ar trebui să ne așteptăm să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum să oprești asta?

Criptarea nu este un proces unic, deși nu durează prea mult. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin scoaterea ștecherului din priză!

Când Windows pornește în modul normal, criptarea va continua, așa că este important să o preveniți. Următoarea pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă aveți o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware dacă au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decriptoare WannaCry: și . Primul funcționează numai în Windows XP, iar al doilea, creat pe baza primului, funcționează în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de operare al ambelor decriptoare se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că doar cei care nu au avut timp să repornească computerul au șanse de decriptare. Și dacă nu a trecut prea mult timp de la criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru pe care ar trebui să-l faceți după ce apare mesajul de răscumpărare este să vă deconectați computerul de la rețeaua locală și de la Internet și să rulați decriptorul WanaKiwi descărcat pe alt dispozitiv. Înainte de a scoate cheia, nu efectuați alte acțiuni pe computer!

Puteți citi descrierea activității decriptorului WanaKiwi într-un altul.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry este recunoscut de aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape orice va face.

Cum să trăiești această viață mai departe

Această epidemie autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru lucrătorii de utilități. Motivul este nepăsarea și întâmplărea. Consecințele sunt pierderi ireparabile de date și daune. Și pentru creatorii malware-ului, acesta este un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a adus dividende foarte bune distribuitorilor, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, ca să nu fii nevoit să plângi niciodată pentru fișierele criptate:

  • Nu refuzați să instalați actualizări de sistem de operare și aplicații. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
  • Ține-o.
  • Creați copii de rezervă ale fișierelor importante și stocați-le pe un alt mediu fizic sau, mai bine, pe mai multe. În rețelele corporative, este optim să utilizați baze de date distribuite de stocare a datelor, utilizatorii casnici pot folosi servicii cloud gratuite, cum ar fi Yandex Disk, Google Drive, OneDrive, MEGASynk etc. Nu păstrați aceste aplicații în funcțiune când nu le utilizați.
  • Alegeți sisteme de operare fiabile. Windows XP nu este așa.
  • Instalați un antivirus cuprinzător de clasă Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu. Sau analogi de la alți dezvoltatori.
  • Creșteți-vă nivelul de alfabetizare în combaterea troienilor ransomware. De exemplu, furnizorul de antivirus Dr.Web a pregătit pentru utilizatorii și administratorii diferitelor sisteme. O mulțime de informații utile și, cel mai important, de încredere sunt conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către atacatori pentru decriptare. Probabilitatea să fiți înșelat este de 99%. Mai mult, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.

De asemenea pe site:

Epidemia WannaCry: răspunsuri la întrebările frecvente și dezmințirea concepțiilor greșite ale utilizatorilor actualizat: 27 mai 2017 de: Johnny Mnemonic