Thực đơn
trang chủExcel

Virus ransomware mới muốn khóc. Ai có nguy cơ bị tấn công WannaCry và cách bảo vệ khỏi nó. Phải làm gì nếu WannaCry đã lây nhiễm vào máy tính của bạn

Không cần nhiều - cài đặt các bản cập nhật cần thiết cho Windows (hoặc bản vá đặc biệt cho các hệ thống không còn được hỗ trợ) và tuân thủ quy tắc đơn giản bảo mật trên Internet. Tuy nhiên, bạn nên làm gì nếu máy tính của bạn đã bị phần mềm độc hại làm hỏng và các tệp trên đó bị mã hóa và không có bản sao lưu? Các chuyên gia bảo mật đặc biệt không khuyến khích tội phạm mạng trả tiền - thứ nhất, những hành động này sẽ chỉ khuyến khích những kẻ tấn công; thứ hai, không có gì đảm bảo rằng bằng cách này, bạn thực sự có thể lấy lại quyền truy cập vào thông tin và số tiền được chuyển (ít nhất là 300 đô la) sẽ không bị lãng phí. Tuy nhiên, ngày nay đã có những chương trình cho phép bạn giải mã dữ liệu do vi-rút mã hóa mà không phải trả tiền chuộc. Một trong số chúng có tên là WannaKey, nhưng nó chỉ hoạt động trên Windows XP. Nhà nghiên cứu người Pháp Benjamin Delpy đã tạo ra công cụ của riêng mình dựa trên nó, được gọi là WannaKiwi và không chỉ phù hợp với Windows XP mà còn cho cả Windows XP. máy chủ Windows 2003 và Windows 7. Ngoài ra, về mặt lý thuyết, ứng dụng sẽ hoạt động trên Windows Vista, 2008 và 2008 R2.

Nguyên tắc hoạt động của WannaKiwi tương tự như thuật toán WannaKey. Nó dựa trên thực tế là sau khi phần mềm độc hại được kích hoạt, các số nguyên tố của khóa mã hóa sẽ được lưu trữ trên máy tính và WannaKiwi có thể tìm thấy chúng và sử dụng chúng để tự khôi phục khóa. Tuy nhiên, để cách này có hiệu quả, bạn phải áp dụng WannaKiwi càng sớm càng tốt sau khi bị lây nhiễm mà không cần khởi động lại máy tính. Nếu những điều kiện này không được đáp ứng, thì các thành phần cần thiết để “tái tạo” khóa rất có thể sẽ bị ghi đè và tiện ích của Benjamin Delpy sẽ bất lực.

Tuy nhiên, trong khi những người bảo vệ máy tính đang tìm kiếm “phương pháp chữa trị” cho WannaCry thì những kẻ viết virus cũng không ngồi yên. Hôm nọ, các nhà nghiên cứu đã phát hiện ra một “dòng” phần mềm độc hại mới sử dụng cơ chế phát tán tương tự như WannaCry khét tiếng, gây ồn ào hơn một tuần trước. Nó được đặt tên là EternalRocks và cũng dựa trên cách khai thác EternalBlue do Cơ quan An ninh Quốc gia Hoa Kỳ tạo ra nhưng đã rơi vào tay tin tặc. Đồng thời, EternalRocks sử dụng thêm sáu công cụ nữa, bao gồm EternalChampion, EternalRomance và DoublePulsar. Theo các nguồn tin, tất cả chúng cũng được NSA phát triển và nhờ chúng, virus mới sẽ có thể lây lan và lây nhiễm nhanh hơn. số lượng lớn máy tính. Đúng, cho đến nay các mẫu được tìm thấy không gây ra bất kỳ mối đe dọa nào vì chúng không chứa các phần tử phá hoại trong mã của chúng, chẳng hạn như bộ mã hóa tệp. Tuy nhiên, điều này không có nghĩa là những kẻ tấn công sau đó sẽ không thể khởi chạy từ xa các cơ chế này trên các máy bị nhiễm.

Ngày 12/5, vào khoảng 13MSK, một “quả bom” phát nổ và virus bắt đầu lây lan Bộ giải mã Wana. Chỉ trong gần vài giờ, hàng chục nghìn máy tính trên khắp thế giới đã bị nhiễm virus. TRÊN Hiện nay Hơn 45.000 máy tính bị nhiễm đã được xác nhận.

Máy tính của cả người dùng thông thường và máy tính làm việc ở nhiều tổ chức khác nhau, bao gồm cả Bộ Nội vụ Nga, đều bị nhiễm virus ransomware Wanna Cry.

Rất tiếc, hiện tại không có cách nào để giải mã tệp WNCRY, nhưng bạn có thể thử sử dụng các chương trình như ShadowExplorer và PhotoRec.

Tên chính xác của loại virus ransomware này là gì: Wana Decryptor, WanaCrypt0r, Wanna Cry hay Wana Decrypt0r?

Kể từ lần đầu tiên phát hiện ra loại virus này, nhiều thông báo khác nhau về loại virus ransomware này đã xuất hiện trên mạng và nó thường được gọi bằng những cái tên khác nhau. Điều này xảy ra vì một số lý do. Trước khi virus Wana Decrypt0r xuất hiện, nó đã có phiên bản đầu tiên, Wanna Decrypt0r, điểm khác biệt chính so với phiên bản hiện tại (2.0) là phương thức phân phối. Biến thể đầu tiên này không được biết đến rộng rãi như người em của nó, nhưng do đó, trong một số bản tin, virus ransomware mới được gọi bằng tên của người anh trai của nó là Wanna Cry, Wanna Decryptor.

Tuy nhiên, tên chính là Wana Decrypt0r, mặc dù hầu hết người dùng thay vì số “0” hãy gõ chữ “o”, điều này dẫn chúng ta đến cái tên Wana Decryptor hoặc WanaDecryptor.

Và cái tên cuối cùng mà người dùng thường gọi virus mã hóa này là virus WNCRY, tức là do đuôi mở rộng được thêm vào tên của các file đã bị mã hóa.

Wana Decryptor xâm nhập vào máy tính của bạn như thế nào?

Nguyên nhân khiến ransomware Wana Decrypt0r lây lan nhanh chóng là do có một lỗ hổng trong dịch vụ SMB của hệ điều hành Windows. Lỗ hổng này hiện diện trong tất cả các phiên bản Windows hiện đại, từ Windows 7 đến Windows 10. Trở lại ngày 14 tháng 3 năm 2017, bản cập nhật “MS17-010: Cập nhật bảo mật cho Windows SMB Server” đã được phát hành (liên kết), nhưng do tốc độ Sự lây lan của virus cho thấy bản cập nhật này Nó không được cài đặt trên tất cả các máy tính.

Do đó, nếu bạn chưa cài đặt bản cập nhật MS17-010 thì bạn cần thực hiện càng nhanh càng tốt! Wana Decrypt0r lây lan với tốc độ chóng mặt và nếu không có bản vá này, máy tính của bạn sẽ hoàn toàn dễ bị lây nhiễm.

WanaDecryptor mã hóa các tập tin trên máy tính của bạn như thế nào?

Khi vi-rút WNCRY khởi động, vi-rút ransomware trước tiên sẽ giải nén trình cài đặt của nó, chứa các tệp sau:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taske.exe
u.wnry

Sau đó, nó lấy ra một thông báo đòi tiền chuộc từ kho lưu trữ bằng ngôn ngữ mà người dùng máy tính sử dụng. Wana Decrypt0r hiện hỗ trợ các ngôn ngữ sau:

Tiếng Bungari, tiếng Trung (giản thể), tiếng Trung (truyền thống), tiếng Croatia, tiếng Séc, tiếng Đan Mạch, tiếng Hà Lan, tiếng Anh, tiếng Philipin, tiếng Phần Lan, tiếng Pháp, tiếng Đức, tiếng Hy Lạp, tiếng Indonesia, tiếng Ý, tiếng Nhật, tiếng Hàn, tiếng Latvia, tiếng Na Uy, tiếng Ba Lan, tiếng Bồ Đào Nha, tiếng Rumani, Tiếng Nga, Tiếng Slovak, Tiếng Tây Ban Nha, Tiếng Thụy Điển, Tiếng Thổ Nhĩ Kỳ, Tiếng Việt

Tiếp theo, virus WanaCrypt0r tải xuống trình duyệt TOR, trình duyệt này được sử dụng để liên lạc với các máy chủ điều khiển của virus ransomware. Khi quá trình này hoàn tất, virus sẽ thực thi lệnh cài đặt toàn quyền truy cập tới tất cả các thư mục và tập tin có sẵn. Điều này là cần thiết để mã hóa càng nhiều tệp càng tốt trên máy tính bị nhiễm.

Ở giai đoạn tiếp theo, WanaDecryptor chấm dứt các quy trình có tên sau mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.* để mã hóa tất cả cơ sở dữ liệu trên máy tính bị nhiễm.

Sau khi hoàn thành các giai đoạn chuẩn bị được mô tả ở trên, virus sẽ tự tiến hành quá trình mã hóa. Quá trình của nó mã hóa các tập tin có phần mở rộng sau:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, . bác sĩ

Nhân tiện, dựa trên danh sách các tiện ích mở rộng không bao gồm tiện ích mở rộng cho chương trình 1C phổ biến ở Nga, chúng tôi có thể kết luận rằng rất có thể virus không phải do các lập trình viên người Nga tạo ra.

Khi một tệp được mã hóa, phần mở rộng ".WNCRY" sẽ được thêm vào tên của nó. Nghĩa là, nếu trước khi mã hóa file có tên là “picture.bmp”, thì sau khi mã hóa, tên của nó sẽ được đổi thành “picture.bmp.WNCRY”.

Khi tất cả các tệp trong thư mục được mã hóa, vi-rút ransomware sẽ đặt thêm một vài tệp vào cùng thư mục, đây là @ [email được bảo vệ]- chứa hướng dẫn giải mã tập tin và @ [email được bảo vệ]- bộ giải mã các tập tin được mã hóa.

Ở giai đoạn cuối của quá trình hoạt động, virus WanaDecryptor cố gắng loại bỏ bản sao bóng tối tất cả các tệp và các tùy chọn khác để khôi phục các tệp đã được mã hóa trước đó. Vì hoạt động này đòi hỏi đầy đủ quyền, khi đó hệ điều hành sẽ hiển thị cảnh báo từ dịch vụ UAC. Nếu người dùng từ chối, bản sao bóng của tệp sẽ không bị xóa và có thể khôi phục hoàn toàn miễn phí các tệp được mã hóa. Điều này được xác nhận bởi một số tin nhắn từ người dùng trên diễn đàn câu lạc bộ người hâm mộ chống vi-rút Kaspersky.

Làm cách nào để khôi phục các tập tin được mã hóa WNCRY?

Như đã đề cập trước đó, cách duy nhất để lấy lại miễn phí các tệp đã bị vi rút ransomware WanaDecryptor mã hóa miễn phí là sử dụng các chương trình đặc biệt như ShadowExplorer và PhotoRec. Quá trình sử dụng chúng được mô tả chi tiết trong hướng dẫn này.

Nếu bạn có thắc mắc hoặc cần trợ giúp, bạn có thể tạo chủ đề mới trên diễn đàn của chúng tôi hoặc để lại nhận xét bên dưới.

Làm cách nào để máy tính không bị nhiễm virus ransomware Wana Decryptor?

Trước tiên, bạn cần phải vá lỗ hổng trong hệ điều hành bằng cách cài đặt bản cập nhật MS17-010, liên kết mà bạn có thể tìm thấy ở đầu bài viết này. Nếu không thể cài đặt bản cập nhật, hãy vô hiệu hóa việc sử dụng giao thức SMBv1 (Cách bật và tắt SMBv1, liên kết) hoặc chặn các kết nối đến cổng 445 trong tường lửa.

Dành cho tổ chức bảo vệ hoàn toàn tối thiểu bạn cần một máy tính phần mềm diệt virus miễn phí(xem bài viết này) và một chương trình chống phần mềm độc hại (xem bài viết này). Chúng tôi khuyên bạn nên sử dụng Zemana Anti-malware hoặc Malwarebytes. Phiên bản đầy đủ Các chương trình này cũng bao gồm một mô-đun bổ sung ngăn chặn sự khởi chạy của vi-rút ransomware.

Ngày nay, có lẽ chỉ những người ở rất xa Internet mới không biết về sự lây nhiễm hàng loạt máy tính với Trojan mã hóa WannaCry (“Tôi muốn khóc”) bắt đầu vào ngày 12 tháng 5 năm 2017. Và tôi sẽ chia phản ứng của những người biết thành 2 loại đối lập nhau: thờ ơ và hoảng sợ. Điều đó có nghĩa là gì?

Và thực tế là thông tin rời rạc không cung cấp sự hiểu biết đầy đủ về tình hình sẽ dẫn đến suy đoán và để lại nhiều câu hỏi hơn là câu trả lời. Để hiểu điều gì đang thực sự xảy ra, nó đe dọa ai và điều gì, cách bảo vệ bạn khỏi bị lây nhiễm và cách giải mã các tập tin bị WannaCry làm hỏng, bài viết hôm nay được dành cho nó.

“Ma quỷ” có thực sự đáng sợ đến vậy không?

Tôi không hiểu tất cả những ồn ào đó là gìMuốn khóc? Virus có rất nhiều, virus mới xuất hiện liên tục. Điều gì đặc biệt ở cái này?

WannaCry (tên khác WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) không phải là một phần mềm độc hại mạng thông thường. Lý do khiến anh ta nổi tiếng là số lượng thiệt hại khổng lồ gây ra. Theo Europol, nó đã làm gián đoạn hoạt động của hơn 200.000 máy tính chạy Windows ở 150 quốc gia và thiệt hại mà chủ nhân của chúng phải gánh chịu lên tới hơn 1.000.000.000 USD. Và con số này chỉ tính trong 4 ngày đầu tiên được phân phối. Hầu hết nạn nhân đều ở Nga và Ukraine.

Tôi biết rằng virus xâm nhập vào PC thông qua các trang web người lớn. Tôi không truy cập những tài nguyên như vậy nên tôi không gặp nguy hiểm.

Vi-rút? Tôi cũng có một vấn đề. Khi virus xuất hiện trên máy tính của tôi, tôi chạy tiện ích *** và sau nửa giờ thì mọi thứ đều ổn. Và nếu không được, tôi cài đặt lại Windows.

Virus khác với virus. WannaCry là một ransomware Trojan, một loại sâu mạng có thể lây lan qua mạng cục bộ và Internet từ máy tính này sang máy tính khác mà không cần sự can thiệp của con người.

Hầu hết các phần mềm độc hại, bao gồm cả ransomware, chỉ bắt đầu hoạt động sau khi người dùng “nuốt mồi”, tức là nhấp vào liên kết, mở tệp, v.v. Để bị nhiễm WannaCry, bạn không cần phải làm gì cả!

Khi ở trên máy tính Windows, phần mềm độc hại sẽ mã hóa hàng loạt tệp người dùng trong thời gian ngắn, sau đó nó hiển thị thông báo yêu cầu tiền chuộc 300-600 USD, số tiền này phải được chuyển đến ví được chỉ định trong vòng 3 ngày. Trong trường hợp chậm trễ, anh ta đe dọa sẽ không thể giải mã tập tin trong 7 ngày.

Đồng thời, phần mềm độc hại tìm kiếm sơ hở để xâm nhập vào các máy tính khác và nếu tìm thấy sẽ lây nhiễm vào toàn bộ mạng cục bộ. Nó có nghĩa là bản sao lưu các tập tin được lưu trữ trên các máy lân cận cũng không thể sử dụng được.

Loại bỏ vi-rút khỏi máy tính không giải mã được tập tin! Cài đặt lại hệ điều hành cũng vậy. Ngược lại, nếu bị nhiễm ransomware, cả hai hành động này đều có thể khiến bạn mất khả năng khôi phục tệp ngay cả khi bạn có khóa hợp lệ.

Vì vậy, “chết tiệt” khá đáng sợ.

WannaCry lây lan như thế nào

Bạn đang nói dối. Virus chỉ có thể xâm nhập vào máy tính của tôi nếu tôi tự tải xuống. Và tôi cảnh giác.

Nhân tiện, nhiều phần mềm độc hại có thể lây nhiễm vào máy tính (và cả thiết bị di động) thông qua các lỗ hổng - lỗi trong mã của các thành phần và chương trình hệ điều hành, tạo cơ hội cho những kẻ tấn công mạng sử dụng máy từ xa cho mục đích riêng của chúng. Đặc biệt, WannaCry lây lan qua lỗ hổng 0 ngày trong giao thức SMB (lỗ hổng zero-day là lỗi chưa được khắc phục tại thời điểm chúng bị phần mềm độc hại/phần mềm gián điệp khai thác).

Nghĩa là, để lây nhiễm sâu ransomware vào máy tính, cần có hai điều kiện:

  • Kết nối với mạng nơi có các máy bị nhiễm khác (Internet).
  • Sự hiện diện của lỗ hổng được mô tả ở trên trong hệ thống.

Sự lây nhiễm này thậm chí đến từ đâu? Đây có phải là tác phẩm của hacker Nga?

Theo một số báo cáo (tôi không chịu trách nhiệm về tính xác thực), Cơ quan An ninh Quốc gia Hoa Kỳ là cơ quan đầu tiên phát hiện ra lỗ hổng trong giao thức mạng SMB, được sử dụng để truy cập từ xa hợp pháp vào các tệp và máy in trong Windows. Thay vì báo cáo cho Microsoft để họ sửa lỗi, NSA đã quyết định tự mình sử dụng nó và phát triển một cách khai thác lỗ hổng này (một chương trình khai thác lỗ hổng).

Trực quan hóa động thái phát tán WannaCry trên trang web intel.malwaretech.com

Sau đó, khai thác này (có tên mã EternalBlue), trong một thời gian đã giúp NSA xâm nhập vào máy tính mà chủ sở hữu không hề hay biết, đã bị tin tặc đánh cắp và tạo cơ sở cho việc tạo ra ransomware WannaCry. Đó là, nhờ không hoàn toàn hợp pháp và hành động đạo đức Các cơ quan chính phủ Hoa Kỳ là những người viết virus và đã biết về lỗ hổng này.

Tôi đã tắt cài đặt bản cập nhậtCác cửa sổ. Cần thiết để làm gì khi mọi thứ vẫn hoạt động mà không có chúng.

Nguyên nhân khiến dịch bệnh lây lan nhanh chóng và lan rộng như vậy là do vào thời điểm đó chưa có “bản vá” - bản cập nhật Windows có thể bịt lỗ hổng Wanna Cry. Rốt cuộc, phải mất thời gian để phát triển nó.

Ngày nay một bản vá như vậy tồn tại. Người dùng cập nhật hệ thống sẽ tự động nhận được nó trong vòng những giờ đầu tiên phát hành. Và những người cho rằng không cần cập nhật vẫn có nguy cơ bị lây nhiễm.

Ai có nguy cơ bị tấn công bởi WannaCry và cách bảo vệ khỏi nó

Theo tôi được biết, hơn 90% máy tính bị nhiễm virusWannaCry, được vận hành bởiWindows 7. Tôi có “mười”, nghĩa là tôi không gặp nguy hiểm.

Tất cả các hệ điều hành sử dụng giao thức mạng SMB v1 đều dễ bị nhiễm WannaCry. Cái này:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v1607
  • Máy chủ Windows 2003
  • Máy chủ Windows 2008
  • Máy chủ Windows 2012
  • Máy chủ Windows 2016

Ngày nay, người dùng các hệ thống chưa cài đặt nó (có sẵn cho tải xuống miễn phí từ trang web technet.microsoft.com mà liên kết được cung cấp). Có thể tải xuống các bản vá cho Windows XP, Windows Server 2003, Windows 8 và các hệ điều hành không được hỗ trợ khác. Nó cũng mô tả các cách để kiểm tra sự hiện diện của bản cập nhật cứu mạng.

Nếu bạn không biết phiên bản hệ điều hành trên máy tính của mình, hãy nhấn tổ hợp phím Win+R và chạy lệnh winver.

Để tăng cường bảo mật và nếu không thể cập nhật hệ thống ngay bây giờ, Microsoft cung cấp hướng dẫn cách vô hiệu hóa tạm thời giao thức SMB phiên bản 1. Chúng được định vị và. Ngoài ra, nhưng không nhất thiết, bạn có thể đóng cổng TCP 445, cổng phục vụ SMB, thông qua tường lửa.

Tôi có phần mềm diệt virus tốt nhất trên thế giới ***, với nó tôi có thể làm bất cứ điều gì và tôi không sợ bất cứ điều gì.

Sự lây lan của WannaCry có thể xảy ra không chỉ bởi pháo tự hành nói trên mà còn bởi theo những cách thông thường- bởi vì truyền thông xã hội, e-mail, tài nguyên web bị nhiễm và lừa đảo, v.v. Và có những trường hợp như vậy. Nếu bạn tải xuống và chạy một chương trình độc hại theo cách thủ công, cả phần mềm chống vi-rút và bản vá lỗi đóng các lỗ hổng sẽ không giúp bạn khỏi bị lây nhiễm.

Virus hoạt động như thế nào, nó mã hóa cái gì

Vâng, hãy để anh ấy mã hóa những gì anh ấy muốn. Tôi có một người bạn là lập trình viên, anh ấy sẽ giải mã mọi thứ cho tôi. Biện pháp cuối cùng là chúng ta sẽ tìm ra chìa khóa bằng cách sử dụng vũ lực.

Chà, nó mã hóa một vài tập tin, vậy thì sao? Điều này sẽ không ngăn cản tôi làm việc trên máy tính.

Thật không may, nó sẽ không giải mã được vì không có cách nào để bẻ khóa thuật toán mã hóa RSA-2048 mà Wanna Cry sử dụng và sẽ không xuất hiện trong tương lai gần. Và nó sẽ mã hóa không chỉ một vài tập tin mà hầu hết mọi thứ.

Lái xe miêu tả cụ thể Tôi sẽ không làm việc với phần mềm độc hại; bất kỳ ai quan tâm đều có thể đọc phân tích của nó, chẳng hạn như ở định dạng . Tôi sẽ chỉ lưu ý những khoảnh khắc quan trọng nhất.

Các tệp có phần mở rộng sau được mã hóa: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Như bạn có thể thấy, có các tài liệu, ảnh, video-âm thanh, kho lưu trữ, thư và tệp được tạo trong nhiều chương trình khác nhau... Phần mềm độc hại cố gắng tiếp cận mọi thư mục trong hệ thống.

Các đối tượng được mã hóa nhận được phần mở rộng gấp đôi với phần tái bút WNCRY, ví dụ: "Document1.doc.WNCRY".

Sau khi mã hóa, virus sao chép một file thực thi vào từng thư mục @[email được bảo vệ] – được cho là để giải mã sau khi đòi tiền chuộc, cũng như Dữ liệu văn bản @[email được bảo vệ] kèm theo một thông báo cho người dùng.

Tiếp theo, anh ta cố gắng tiêu diệt các bản sao và điểm bóng. Phục hồi Windows. Nếu UAC đang chạy trên hệ thống, người dùng phải xác nhận thao tác này. Nếu bạn từ chối yêu cầu, vẫn có cơ hội khôi phục dữ liệu từ các bản sao.

WannaCry truyền các khóa mã hóa của hệ thống bị ảnh hưởng tới các trung tâm chỉ huy đặt tại Mạng Tor, rồi xóa chúng khỏi máy tính. Để tìm kiếm các máy dễ bị tấn công khác, nó quét mạng cục bộ và các dải IP tùy ý trên Internet và sau khi tìm thấy, nó sẽ xâm nhập vào mọi thứ mà nó có thể tiếp cận.

Ngày nay, các nhà phân tích đã biết về một số sửa đổi của WannaCry với các cơ chế phân phối khác nhau và những sửa đổi mới dự kiến ​​sẽ xuất hiện trong tương lai gần.

Phải làm gì nếu WannaCry đã lây nhiễm vào máy tính của bạn

Tôi thấy các tập tin đang thay đổi phần mở rộng. Chuyện gì đang xảy ra vậy? Làm thế nào để ngăn chặn điều này?

Mã hóa không phải là quá trình diễn ra một lần, mặc dù nó không mất quá nhiều thời gian. Nếu bạn đã nhận ra điều đó trước khi thông báo ransomware xuất hiện trên màn hình, bạn có thể lưu một số tệp bằng cách tắt nguồn máy tính ngay lập tức. Không phải bằng cách tắt hệ thống, mà bằng cách rút phích cắm ra khỏi ổ cắm!

Tại đang tải Windowsở chế độ bình thường, quá trình mã hóa sẽ tiếp tục, vì vậy điều quan trọng là phải ngăn chặn nó. Lần khởi động máy tính tiếp theo sẽ diễn ra trong chế độ an toàn, trong đó virus không hoạt động hoặc từ một phương tiện có khả năng khởi động khác.

Các tập tin của tôi đã được mã hóa! Virus đòi tiền chuộc cho họ! Phải làm gì, làm thế nào để giải mã?

Việc giải mã các tập tin sau WannaCry chỉ có thể thực hiện được nếu bạn có khóa bí mật mà những kẻ tấn công hứa sẽ cung cấp ngay khi nạn nhân chuyển số tiền chuộc cho chúng. Tuy nhiên, những lời hứa như vậy hầu như không bao giờ được thực hiện: tại sao các nhà phân phối phần mềm độc hại phải bận tâm nếu họ đã có được thứ họ muốn?

Trong một số trường hợp, vấn đề có thể được giải quyết mà không cần tiền chuộc. Đến nay, 2 bộ giải mã WannaCry đã được phát triển: và . Cái đầu tiên chỉ hoạt động trong Windows XP và cái thứ hai, được tạo trên cơ sở cái đầu tiên, hoạt động trong Windows XP, Vista và 7 x86, cũng như trong các hệ thống phía bắc 2003, 2008 và 2008R2 x86.

Thuật toán hoạt động của cả hai bộ giải mã đều dựa trên việc tìm kiếm chìa khóa bí mật trong bộ nhớ của quá trình ransomware. Điều này có nghĩa là chỉ những người không có thời gian khởi động lại máy tính mới có cơ hội giải mã. Và nếu không quá nhiều thời gian đã trôi qua kể từ khi mã hóa (bộ nhớ chưa bị ghi đè bởi quá trình khác).

Vì vậy, nếu bạn là người dùng Windows XP-7 x86, điều đầu tiên bạn nên làm sau khi thông báo đòi tiền chuộc xuất hiện là ngắt kết nối máy tính của bạn khỏi mạng nội bộ và Internet rồi chạy bộ giải mã WanaKiwi được tải xuống trên một thiết bị khác. Trước khi tháo key, không thực hiện bất kỳ thao tác nào khác trên máy tính!

Bạn có thể đọc mô tả công việc của bộ giải mã WanaKiwi trong một phần khác.

Sau khi giải mã các tệp, hãy chạy phần mềm chống vi-rút để loại bỏ phần mềm độc hại và cài đặt bản vá để đóng đường dẫn phân phối của nó.

Ngày nay, WannaCry được hầu hết các chương trình chống vi-rút công nhận, ngoại trừ những chương trình không được cập nhật, vì vậy hầu hết mọi chương trình đều được.

Làm thế nào để sống cuộc sống này hơn nữa

Dịch bệnh tự phát này khiến cả thế giới phải kinh ngạc. Đối với tất cả các loại dịch vụ an ninh, điều này hóa ra lại bất ngờ như sự bắt đầu của mùa đông ngày 1 tháng 12 đối với các công nhân tiện ích. Lý do là sự bất cẩn và có thể. Hậu quả là mất mát dữ liệu và thiệt hại không thể khắc phục được. Và đối với những người tạo ra phần mềm độc hại, đây là động lực để tiếp tục với tinh thần tương tự.

Theo giới phân tích, WanaCry mang lại cổ tức rất tốt cho các nhà phân phối, đồng nghĩa với việc những cuộc tấn công như thế này sẽ còn lặp lại. Và những người bị cuốn đi bây giờ không nhất thiết sẽ bị cuốn đi sau này. Tất nhiên, nếu bạn không lo lắng về điều đó trước.

Vì vậy, để bạn không bao giờ phải khóc lóc vì các tập tin được mã hóa:

  • Đừng từ chối cài đặt các bản cập nhật hệ điều hành và ứng dụng. Điều này sẽ bảo vệ bạn khỏi 99% các mối đe dọa lây lan qua các lỗ hổng chưa được vá.
  • Cứ tiếp tục.
  • Tạo bản sao lưu của các tệp quan trọng và lưu trữ chúng trên một phương tiện vật lý khác hoặc tốt hơn là trên một số phương tiện. Trong các mạng công ty, việc sử dụng cơ sở dữ liệu lưu trữ dữ liệu phân tán là tối ưu; người dùng gia đình có thể sử dụng các dịch vụ đám mây miễn phí như Yandex Disk, Google Drive, OneDrive, MEGASynk, v.v. Đừng để những ứng dụng này chạy khi bạn không sử dụng chúng.
  • Chọn hệ điều hành đáng tin cậy. Windows XP không như vậy.
  • Ví dụ: cài đặt chương trình chống vi-rút lớp Bảo mật Internet toàn diện và bảo vệ bổ sung chống lại phần mềm tống tiền. Hoặc tương tự từ các nhà phát triển khác.
  • Nâng cao trình độ hiểu biết của bạn trong việc chống lại Trojan ransomware. Ví dụ: nhà cung cấp phần mềm chống vi-rút Dr.Web đã chuẩn bị cho người dùng và quản trị viên của nhiều hệ thống khác nhau. Rất nhiều điều hữu ích và điều quan trọng là thông tin đáng tin cậy có trong blog của các nhà phát triển A/V khác.

Và quan trọng nhất: dù có gặp nạn cũng không được chuyển tiền cho kẻ tấn công để giải mã. Xác suất bạn bị lừa là 99%. Hơn nữa, nếu không có ai trả tiền thì việc tống tiền sẽ trở nên vô nghĩa. Nếu không, sự lây lan của bệnh nhiễm trùng như vậy sẽ chỉ tăng lên.

Ngoài ra trên trang web:

Đại dịch WannaCry: câu trả lời cho những câu hỏi thường gặp và vạch trần những quan niệm sai lầm của người dùng cập nhật: ngày 27 tháng 5 năm 2017 bởi: Johnny ghi nhớ

Cứ sau vài năm lại xuất hiện một loại virus trên mạng có thể lây nhiễm sang nhiều máy tính trong thời gian ngắn. Lần này, một loại virus như vậy là Wanna Cry (hay như người dùng ở Nga đôi khi gọi nó là - “ở đằng kia”, “Tôi muốn khóc”). Phần mềm độc hại này đã lây nhiễm khoảng 57.000 nghìn máy tính ở hầu hết các quốc gia trên thế giới chỉ trong vài ngày. Theo thời gian, tỷ lệ lây nhiễm virus đã giảm nhưng vẫn xuất hiện các thiết bị mới đã bị nhiễm virus. TRÊN khoảnh khắc này Hơn 200.000 máy tính bị ảnh hưởng - cả người dùng cá nhân và tổ chức.

Wanna Cry là nghiêm trọng nhất mối đe dọa máy tính Bây giờ là năm 2017 và bạn vẫn có thể trở thành nạn nhân của nó. Trong bài viết này, chúng tôi sẽ cho bạn biết Wanna Cry là gì, nó lây lan như thế nào và cách bảo vệ bạn khỏi virus.

WannaCry mã hóa hầu hết hoặc thậm chí tất cả các tệp trên máy tính của bạn. Sau đó, phần mềm sẽ hiển thị một thông báo cụ thể trên màn hình máy tính của bạn yêu cầu khoản tiền chuộc 300 USD để giải mã các tệp của bạn. Việc thanh toán phải diễn ra vào Ví tiền Bitcoin. Nếu người dùng không trả tiền chuộc trong vòng 3 ngày, số tiền sẽ tăng gấp đôi lên 600 USD. Sau 7 ngày, virus sẽ xóa tất cả các file bị mã hóa và toàn bộ dữ liệu của bạn sẽ bị mất.

Symantec đã công bố danh sách tất cả các loại file mà Wanna Cry có thể mã hóa. Danh sách này bao gồm MỌI THỨ định dạng phổ biến các tệp bao gồm .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv , .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. Danh sách đầy đủ nằm ở phần spoiler.

  • .accdb
  • .hỗ trợ
  • .lớp học
  • .djvu
  • .docb
  • .docm
  • .docx
  • .dotm
  • .dotx
  • .java
  • .jpeg
  • .lay6
  • .mpeg
  • .onetoc2
  • .potm
  • .potx
  • .ppam
  • .ppsm
  • .ppsx
  • .pptm
  • .pptx
  • .sldm
  • .sldx
  • .sqlite3
  • .sqlitedb
  • .tiff
  • .vmdk
  • .vsdx
  • .xlsb
  • .xlsm
  • .xlsx
  • .xltm
  • .xltx

Như bạn có thể thấy, vi-rút có thể mã hóa hầu hết mọi tệp trên ổ cứng máy tính của bạn. Sau khi quá trình mã hóa hoàn tất, Wanna Cry đăng hướng dẫn giải mã các tập tin, bao gồm việc trả một khoản tiền chuộc nhất định.

Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã phát hiện ra một khai thác có tên “EternalBlue”, nhưng đã chọn cách che giấu sự thật này để lợi dụng nó. Vào tháng 4 năm 2017, nhóm hacker Shadow Brokers đã công bố thông tin về việc khai thác.

Virus Wanna Cry thường lây lan theo cách sau: bạn nhận được email có tệp đính kèm. Tệp đính kèm có thể chứa ảnh, tệp video, Tác phẩm âm nhạc. Tuy nhiên, nếu để ý kỹ hơn, bạn có thể hiểu phần mở rộng của file này là .exe (tệp thực thi). Do đó, sau khi tệp được khởi chạy, hệ thống sẽ bị nhiễm và nhờ vào cách khai thác được phát hiện trước đó, một loại vi-rút sẽ được tải xuống để mã hóa dữ liệu người dùng.

Tuy nhiên, đây không phải là cách duy nhất mà Wanna Cry (vi rút “ở đằng kia”) có thể lây lan. Không còn nghi ngờ gì nữa, bạn cũng có thể tải xuống tệp bị nhiễm từ trình theo dõi torrent hoặc nhận tệp đó trong tin nhắn cá nhân trong các mạng xã hội.

Làm thế nào để bảo vệ bạn khỏi virus Wanna Cry?

Làm thế nào để bảo vệ bạn khỏi virus Wanna Cry?

  • Trước hết, bạn cần cài đặt tất cả các bản cập nhật có sẵn cho hệ điều hành của mình. Đặc biệt, Người dùng Windows Những người đang chạy Windows XP, Windows 8 hoặc Windows Server 2003 nên cài đặt ngay bản cập nhật bảo mật hệ điều hành mà Microsoft đã phát hành.
  • Ngoài ra, hãy cực kỳ chú ý đến tất cả các bức thư gửi đến địa chỉ email của bạn. Bạn không nên hạ thấp cảnh giác, ngay cả khi bạn biết người nhận. Không bao giờ mở tệp có phần mở rộng .exe, .vbs và .scr. Tuy nhiên, phần mở rộng của tập tin có thể được ngụy trang thành video thông thường hoặc tài liệu và trông giống như avi.exe hoặc doc.scr.
  • Bạn nên bật tùy chọn "Hiển thị phần mở rộng tệp" trong cài đặt Windows. Điều này sẽ giúp bạn nhìn thấy phần mở rộng thực sự của tệp, ngay cả khi bọn tội phạm đã cố gắng ngụy trang nó.
  • Việc cài đặt khó có thể giúp bạn tránh bị nhiễm trùng. Thực tế là virus Wanna Cry khai thác lỗ hổng hệ điều hành, vì vậy hãy nhớ cài đặt tất cả các bản cập nhật cho Windows của bạn - và sau đó bạn có thể cài đặt phần mềm chống vi-rút.
  • Đảm bảo lưu tất cả dữ liệu quan trọng vào cứng bên ngoàiđĩa hoặc đám mây. Ngay cả khi máy tính của bạn bị nhiễm virus, bạn chỉ cần cài đặt lại hệ điều hành là có thể loại bỏ vi-rút trên PC.
  • Hãy chắc chắn sử dụng cơ sở dữ liệu mới nhất cho phần mềm chống vi-rút của bạn. Avast, Dr.web, Kaspersky, Nod32 - tất cả phần mềm diệt virus hiện đại liên tục cập nhật cơ sở dữ liệu của họ. Điều chính là đảm bảo rằng giấy phép chống vi-rút của bạn đang hoạt động và nó được cập nhật.
  • Tải xuống và cài đặt tiện ích Kaspersky Anti-Ransomware miễn phí từ Kaspersky Lab. Phần mềm này bảo vệ bạn khỏi ransomware trong thời gian thực. Bên cạnh đó, tiện ích này có thể được sử dụng đồng thời với các phần mềm chống vi-rút thông thường.

Như tôi đã viết, Microsoft đã phát hành một bản vá giúp vá các lỗ hổng trong hệ điều hành và ngăn chặn virus Wanna Cry mã hóa dữ liệu của bạn. Bản vá này cần được cài đặt khẩn cấp trên hệ điều hành sau:

Windows XP, Windows 8 hoặc Windows Server 2003, Windows Embedded

Nếu bạn có phiên bản Windows khác, chỉ cần cài đặt tất cả các bản cập nhật có sẵn.

Việc loại bỏ virus Wanna Cry khỏi máy tính của bạn thật dễ dàng. Để thực hiện việc này, chỉ cần quét máy tính của bạn bằng một trong (ví dụ: Hitman chuyên nghiệp). Tuy nhiên, trong trường hợp này, tài liệu của bạn vẫn sẽ được mã hóa. Do đó, nếu bạn định trả tiền chuộc thì hãy xóa chương trình @ [email được bảo vệ] Tốt hơn là nên chờ đợi. Nếu bạn không cần dữ liệu được mã hóa, định dạng là cách dễ nhất ổ cứng và cài đặt lại hệ điều hành. Điều này chắc chắn sẽ tiêu diệt mọi dấu vết của virus.

Các chương trình ransomware (bao gồm Wanna Cry) thường mã hóa dữ liệu của bạn bằng khóa 128 hoặc 256 bit. Chìa khóa của mỗi máy tính là duy nhất nên ở nhà có thể phải mất hàng chục, hàng trăm năm mới giải mã được. Trên thực tế, điều này khiến người dùng bình thường không thể giải mã được dữ liệu.

Tất nhiên, tất cả chúng ta đều muốn có bộ giải mã Wanna Cry trong kho vũ khí của mình, nhưng giải pháp như vậy vẫn chưa tồn tại. Ví dụ: một cái tương tự đã xuất hiện vài tháng trước, nhưng vẫn chưa có bộ giải mã cho nó.

Vì vậy, nếu bạn chưa bị nhiễm bệnh thì bạn nên chăm sóc bản thân và thực hiện các biện pháp bảo vệ bản thân khỏi loại vi-rút được mô tả trong bài viết. Nếu bạn đã trở thành nạn nhân của nhiễm trùng, thì bạn có một số lựa chọn:

  • Trả tiền chuộc. Nhược điểm của giải pháp này là giá dữ liệu tương đối cao; thực tế không phải tất cả dữ liệu sẽ được giải mã
  • Đặt ổ cứng lên kệ và hy vọng bộ giải mã sẽ xuất hiện. Nhân tiện, bộ giải mã được Kaspersky Lab phát triển và đăng trên trang web No Ransom. Chưa có bộ giải mã cho Wanna Cry, nhưng nó có thể xuất hiện sau một thời gian. Chúng tôi chắc chắn sẽ cập nhật bài viết khi có giải pháp như vậy.
  • Nếu bạn là người dùng được cấp phép của Kaspersky Lab thì bạn có thể gửi yêu cầu giải mã các file đã bị virus Wanna Cry mã hóa.
  • Cài đặt lại hệ điều hành. Nhược điểm - tất cả dữ liệu sẽ bị mất
  • Sử dụng một trong các phương pháp phục hồi dữ liệu sau khi bị nhiễm vi-rút Wanna Cry (Tôi sẽ đăng nó trên trang web của chúng tôi dưới dạng một bài viết riêng trong vòng vài ngày). Tuy nhiên, hãy nhớ rằng cơ hội phục hồi dữ liệu là cực kỳ thấp.

Làm thế nào để chữa khỏi virus Wanna Cry?

Như bạn đã hiểu qua bài viết, việc chữa virus Wanna Cry cực kỳ đơn giản. Bạn cài đặt một trong số chúng, nó sẽ quét ổ cứng của bạn và loại bỏ tất cả vi-rút. Nhưng vấn đề là tất cả dữ liệu của bạn sẽ vẫn được mã hóa. Ngoài các khuyến nghị được đưa ra trước đây để loại bỏ và giải mã Wanna Cry, có thể đưa ra những khuyến nghị sau:

  1. Bạn có thể tham khảo diễn đàn Kaspersky Lab. Trong chủ đề có sẵn tại liên kết, một số chủ đề đã được tạo về Wanna Cry. Đại diện của nhà phát triển trả lời trên diễn đàn nên có thể họ cũng có thể cho bạn biết điều gì đó hữu ích.
  2. Bạn nên đợi - virus đã xuất hiện cách đây không lâu, có thể bộ giải mã sẽ xuất hiện. Ví dụ: không quá sáu tháng trước, Kaspersky đã có thể đánh bại bộ mã hóa CryptXXX. Có thể sau một thời gian họ sẽ tung ra bộ giải mã cho Wanna Cry.
  3. Giải pháp cơ bản là format ổ cứng, cài đặt hệ điều hành và mất hết dữ liệu. Những bức ảnh từ bữa tiệc công ty gần đây nhất của bạn có quan trọng với bạn không?)

Như bạn có thể thấy từ đồ họa thông tin được trình bày, hầu hết các máy tính bị nhiễm Wanna Cry đều ở Nga. Tuy nhiên, điều này không có gì đáng ngạc nhiên - ở nước ta tỷ lệ người dùng hệ điều hành “lậu” là cực kỳ cao. Thông thường, những người dùng như vậy đã tắt tính năng cập nhật tự động, điều này có thể gây lây nhiễm.

Như đã biết, ở Nga không chỉ người dùng thường xuyên mà còn cả các doanh nghiệp nhà nước và các công ty tư nhân. Được biết, trong số các nạn nhân có Bộ Nội vụ, Bộ Tình trạng khẩn cấp và Ngân hàng Trung ương, cũng như Megafon, Sberbank và Đường sắt Nga.

Ở Anh, mạng lưới bệnh viện bị ảnh hưởng khiến một số ca phẫu thuật không thể thực hiện được.

Thật dễ dàng để bảo vệ bạn khỏi bị lây nhiễm - vào tháng 3, Microsoft đã phát hành bản cập nhật bảo mật cho Windows nhằm đóng các “lỗ hổng” trong hệ điều hành. Virus hoạt động thông qua chúng. Nếu bạn chưa thực hiện việc này, hãy nhớ cài đặt tất cả các bản cập nhật cho hệ điều hành của bạn cũng như một bản vá đặc biệt cho các bản cũ Phiên bản Windows, mà tôi đã đề cập ở trên.

Một số người sử dụng phòng mổ Hệ thống Linuxđang thắc mắc: máy tính của họ có bị nhiễm virus Wanna Cry không? Tôi có thể trấn an họ: máy tính đang bị hỏng Kiểm soát Linux Loại virus này không đáng sợ. Hiện tại, không có biến thể nào của virus được phát hiện trên hệ điều hành này.

Phần kết luận

Vì vậy, hôm nay chúng ta đã nói về virus Wanna Cry. Chúng ta đã tìm hiểu loại vi-rút này là gì, cách bảo vệ bản thân khỏi bị lây nhiễm, cách loại bỏ vi-rút và khôi phục các tập tin, nơi lấy bộ giải mã Wanna Cry. Ngoài ra, chúng tôi đã tìm ra nơi tải xuống bản vá dành cho Windows để bảo vệ bạn khỏi bị lây nhiễm. Tôi hy vọng bạn thấy bài viết này hữu ích.

WannaCry là một chương trình đặc biệt chặn tất cả dữ liệu trong hệ thống và chỉ để lại cho người dùng hai tệp: hướng dẫn về những việc cần làm tiếp theo và chính chương trình Wanna Decryptor - một công cụ để mở khóa dữ liệu.

Hầu hết các công ty bảo mật máy tính đều có công cụ giải mã tiền chuộc có thể vượt qua phần mềm. Đối với những người phàm trần, phương pháp “điều trị” vẫn chưa được biết.

Bộ giải mã WannaCry ( hoặc WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),đã được gọi là “vi-rút của năm 2017”. Và không hề không có lý do. Chỉ trong 24 giờ đầu tiên kể từ khi nó bắt đầu lan rộng - phần mềm tống tiền này tấn công hơn 45.000 máy tính. Một số nhà nghiên cứu tin rằng vào thời điểm hiện tại (15/5) hơn một triệu máy tính và máy chủ đã bị nhiễm virus. Hãy để chúng tôi nhắc bạn rằng virus bắt đầu lây lan vào ngày 12 tháng 5. Những người đầu tiên bị ảnh hưởng là người dùng từ Nga, Ukraine, Ấn Độ và Đài Loan. Hiện nay virus đang tốc độ cao phân phối ở Châu Âu, Mỹ và Trung Quốc.

Thông tin trên máy tính và máy chủ đã được mã hóa cơ quan chính phủ(đặc biệt là Bộ Nội vụ Nga), bệnh viện, tập đoàn xuyên quốc gia, trường đại học và trường học.

Wana Decryptor (Wanna Cry hay Wana Decrypt0r) làm tê liệt hoạt động của hàng trăm công ty và cơ quan chính phủ trên toàn thế giới

Về cơ bản, WinCry (WannaCry) là một khai thác thuộc họ EternalBlue, sử dụng một lỗ hổng khá cũ trong hệ điều hành Windows (Windows XP, Windows Vista, Windows 7, Windows 8 và Windows 10) và tự tải chính nó vào hệ thống một cách âm thầm. Sau đó, bằng cách sử dụng các thuật toán chống giải mã, nó mã hóa dữ liệu người dùng (tài liệu, ảnh, video, bảng tính, cơ sở dữ liệu) và yêu cầu tiền chuộc để giải mã dữ liệu. Đề án này không mới, chúng tôi liên tục viết về các loại bộ mã hóa tệp mới - nhưng phương thức phân phối thì mới. Và điều này đã dẫn tới một đại dịch.

Virus hoạt động như thế nào

Phần mềm độc hại quét Internet để tìm các máy chủ đang tìm kiếm máy tính có cổng TCP mở 445, chịu trách nhiệm phục vụ giao thức SMBv1. Sau khi phát hiện một máy tính như vậy, chương trình sẽ thực hiện một số nỗ lực khai thác lỗ hổng EternalBlue trên đó và nếu thành công, sẽ cài đặt cửa sau DoublePulsar, qua đó mã thực thi của chương trình WannaCry được tải xuống và khởi chạy. Với mỗi lần khai thác, phần mềm độc hại sẽ kiểm tra sự hiện diện của DoublePulsar trên máy tính mục tiêu và nếu bị phát hiện, nó sẽ tải xuống trực tiếp thông qua cửa sau này.

Nhân tiện, những con đường này không được theo dõi bởi hiện đại chương trình chống virus, khiến cho sự lây nhiễm trở nên lan rộng. Và đây là một viên đá cuội khổng lồ trong khu vườn của các nhà phát triển phần mềm chống vi-rút. Làm sao điều này có thể được phép xảy ra? Bạn lấy tiền để làm gì?

Sau khi khởi chạy, phần mềm độc hại này hoạt động giống như một phần mềm ransomware cổ điển: nó tạo ra một cặp khóa bất đối xứng RSA-2048 duy nhất cho mỗi máy tính bị nhiễm. Sau đó, WannaCry bắt đầu quét hệ thống để tìm kiếm một số loại tệp người dùng nhất định, giữ nguyên những tệp quan trọng cho hoạt động tiếp theo của nó. Mỗi tệp đã chọn sẽ được mã hóa bằng thuật toán AES-128-CBC với một khóa duy nhất (ngẫu nhiên) cho mỗi tệp, khóa này lần lượt được mã hóa bằng khóa RSA công khai của hệ thống bị nhiễm và được lưu trữ trong tiêu đề của tệp được mã hóa. Trong trường hợp này, phần mở rộng được thêm vào mỗi tệp được mã hóa .wncry. Cặp khóa RSA của hệ thống bị nhiễm được mã hóa bằng khóa chung của kẻ tấn công và được gửi đến máy chủ điều khiển của chúng nằm trên mạng Tor, sau đó tất cả các khóa sẽ bị xóa khỏi bộ nhớ của máy bị nhiễm. Sau khi hoàn tất quá trình mã hóa, chương trình hiển thị cửa sổ yêu cầu bạn chuyển một số tiền nhất định bằng bitcoin (tương đương 300 đô la Mỹ) vào ví được chỉ định trong ba ngày. Nếu không nhận được tiền chuộc đúng hạn, số tiền sẽ tự động tăng gấp đôi. Vào ngày thứ bảy, nếu WannaCry không bị xóa khỏi hệ thống bị nhiễm, các tệp được mã hóa sẽ bị hủy. Thông báo được hiển thị bằng ngôn ngữ tương ứng với ngôn ngữ được cài đặt trên máy tính. Tổng cộng, chương trình hỗ trợ 28 ngôn ngữ. Song song với mã hóa, chương trình quét các địa chỉ Internet và mạng cục bộ tùy ý để phát hiện sự lây nhiễm tiếp theo của các máy tính mới.

Theo nghiên cứu của Symantec, thuật toán của kẻ tấn công để theo dõi các khoản thanh toán riêng lẻ cho từng nạn nhân và gửi cho họ khóa giải mã được triển khai với lỗi điều kiện chủng tộc. Điều này khiến việc thanh toán tiền chuộc trở nên vô nghĩa vì các khóa riêng lẻ sẽ không được gửi trong mọi trường hợp và các tệp sẽ vẫn được mã hóa. Tuy nhiên, có phương pháp đáng tin cậy giải mã Tập tin người dùng kích thước nhỏ hơn 200 MB và cũng có một số cơ hội để khôi phục tệp kích thước lớn hơn. Ngoài ra, trên lỗi thời Hệ thống Windows XP và Windows Server 2003, do đặc thù của việc triển khai thuật toán tính số giả ngẫu nhiên trong hệ thống, thậm chí có thể khôi phục khóa RSA riêng tư và giải mã tất cả các tệp bị ảnh hưởng nếu máy tính chưa được khởi động lại kể từ khi bị lây nhiễm. . Sau đó, một nhóm chuyên gia an ninh mạng người Pháp từ Comae Technologies đã mở rộng tính năng này sang Windows 7 và đưa nó vào thực tế bằng cách xuất bản tiện ích này trên phạm vi công cộng. WanaKiwi, cho phép bạn giải mã các tập tin mà không cần tiền chuộc.

Mã của các phiên bản đầu tiên của chương trình bao gồm cơ chế tự hủy, cái gọi là Kill Switch - chương trình đã kiểm tra tính khả dụng của hai miền Internet cụ thể và nếu có thì sẽ bị xóa hoàn toàn khỏi máy tính. Điều này được Marcus Hutchins phát hiện lần đầu tiên vào ngày 12 tháng 5 năm 2017. (Tiếng Anh) tiếng Nga , một nhà phân tích virus 22 tuổi của công ty Kryptos Logic của Anh, người viết trên Twitter với biệt danh @MalwareTechBlog và đã đăng ký một trong các tên miền dưới tên của mình. Do đó, anh ta đã có thể tạm thời ngăn chặn một phần sự lây lan của việc sửa đổi chương trình độc hại này. Vào ngày 14 tháng 5, tên miền thứ hai đã được đăng ký. Trong các phiên bản tiếp theo của virus, cơ chế tự vô hiệu hóa này đã bị loại bỏ, nhưng điều này không được thực hiện trong bản gốc. Mã chương trình, và bằng cách chỉnh sửa tập tin thực thi, cho phép chúng ta giả định nguồn gốc sửa chữa này không phải từ tác giả của WannaCry ban đầu mà từ những kẻ tấn công bên thứ ba. Kết quả là cơ chế mã hóa đã bị hỏng và phiên bản sâu này chỉ có thể tự lây lan khi tìm thấy các máy tính dễ bị tấn công chứ không có khả năng gây hại trực tiếp cho chúng.

Tốc độ lây lan cao của WannaCry, loại ransomware duy nhất, được đảm bảo bằng việc khai thác lỗ hổng được công bố vào tháng 2 năm 2017 giao thức mạng Hệ điều hành SMB Microsoft Windowsđược mô tả trong bản tin MS17-010. Nếu trong sơ đồ cổ điển, ransomware xâm nhập vào máy tính nhờ hành động của chính người dùng thông qua email hoặc liên kết web, thì trong trường hợp WannaCry, sự tham gia của người dùng hoàn toàn bị loại trừ. Thời gian từ khi phát hiện một máy tính có lỗ hổng cho đến khi nó bị lây nhiễm hoàn toàn là khoảng 3 phút.

Công ty phát triển đã xác nhận sự hiện diện của lỗ hổng trong tất cả các sản phẩm người dùng và máy chủ triển khai giao thức SMBv1 - bắt đầu với Windows XP/Windows Server 2003 và kết thúc với Windows 10/Windows Server 2016. Vào ngày 14 tháng 3 năm 2017, Microsoft đã phát hành một loạt bản cập nhật được thiết kế để vô hiệu hóa lỗ hổng trong tất cả các hệ điều hành được hỗ trợ. Sau sự lan rộng của WannaCry, công ty đã thực hiện bước đi chưa từng có khi phát hành bản cập nhật cho các sản phẩm không còn hỗ trợ (Windows XP, Windows Server 2003 và Windows 8) vào ngày 13 tháng 5.

Sự lây lan của virus WannaCry

Virus có thể lây lan theo nhiều cách khác nhau:

  • Thông qua một mạng máy tính duy nhất;
  • Thông qua mail;
  • Thông qua trình duyệt.

Cá nhân tôi không hiểu lắm tại sao Kết nối mạng không được quét bởi phần mềm chống vi-rút. Phương thức lây nhiễm tương tự như khi truy cập một trang web hoặc trình duyệt chứng tỏ sự bất lực của các nhà phát triển và rằng số tiền được yêu cầu cho phần mềm được cấp phép để bảo vệ PC là không chính đáng dưới bất kỳ hình thức nào.

Triệu chứng nhiễm virus và cách điều trị

Sau khi cài đặt thành công trên PC của người dùng, WannaCry cố gắng lây lan khắp mạng cục bộ sang các PC khác như một con sâu. Các tệp được mã hóa nhận được phần mở rộng hệ thống .WCRY và hoàn toàn không thể đọc được cũng như không thể tự giải mã chúng. Sau đó mã hóa đầy đủ Wcry thay đổi hình nền máy tính và để lại “hướng dẫn” giải mã các tập tin trong các thư mục có dữ liệu được mã hóa.

Lúc đầu, tin tặc tống tiền 300 USD cho khóa giải mã, nhưng sau đó nâng con số này lên 600 USD.

Làm cách nào để ngăn PC của bạn bị nhiễm ransomware WannaCry Decryptor?

Tải xuống bản cập nhật hệ điều hành từ trang web của Microsoft.

phải làm gì PC của bạn có bị nhiễm virus không?

Hãy sử dụng hướng dẫn bên dưới để cố gắng khôi phục ít nhất một số thông tin trên PC bị nhiễm. Cập nhật phần mềm chống vi-rút của bạn và cài đặt bản vá hệ điều hành. Bộ giải mã loại virus này chưa tồn tại trong tự nhiên. Chúng tôi đặc biệt khuyên bạn không nên trả tiền chuộc cho những kẻ tấn công - không có gì đảm bảo, dù chỉ một chút, rằng chúng sẽ giải mã dữ liệu của bạn sau khi nhận được tiền chuộc.

Loại bỏ ransomware WannaCry bằng trình dọn dẹp tự động

Duy nhất phương pháp hiệu quả làm việc với phần mềm độc hại nói chung và ransomware nói riêng. Việc sử dụng phức hợp bảo vệ đã được chứng minh đảm bảo phát hiện kỹ lưỡng mọi thành phần virus, loại bỏ hoàn toàn chỉ với một cú nhấp chuột. Ghi chú, Chúng ta đang nói về về hai quy trình khác nhau: gỡ cài đặt sự lây nhiễm và khôi phục các tệp trên PC của bạn. Tuy nhiên, mối đe dọa chắc chắn cần phải được loại bỏ vì có thông tin về việc xuất hiện các Trojan máy tính khác sử dụng nó.

  1. Tải chương trình diệt virus WannaCry. Sau khi khởi động phần mềm, nhấn vào nút Bắt đầu quét máy tính(Bắt đầu quét). Tải chương trình diệt ransomware Muốn khóc .
  2. Phần mềm được cài đặt sẽ cung cấp báo cáo về các mối đe dọa được phát hiện trong quá trình quét. Để loại bỏ tất cả các mối đe dọa được phát hiện, hãy chọn tùy chọn Khắc phục các mối đe dọa(Loại bỏ các mối đe dọa). Phần mềm độc hại được đề cập sẽ bị xóa hoàn toàn.

Khôi phục quyền truy cập vào các tập tin được mã hóa

Như đã lưu ý, ransomware no_more_ransom khóa các tệp bằng thuật toán mã hóa mạnh, do đó dữ liệu được mã hóa không thể được khôi phục bằng một chiếc đũa thần - mà không phải trả một số tiền chuộc chưa từng có. Nhưng một số phương pháp thực sự có thể là cứu cánh giúp bạn khôi phục dữ liệu quan trọng. Dưới đây bạn có thể làm quen với họ.

Chương trình phục hồi tập tin tự động (bộ giải mã)

Một tình huống rất bất thường được biết đến. Sự lây nhiễm này sẽ xóa các tập tin gốc ở dạng không được mã hóa. Do đó, quá trình mã hóa nhằm mục đích tống tiền nhằm vào các bản sao của chúng. Điều này tạo cơ hội cho những phần mềm Làm sao Phục hồi dữ liệu chuyên nghiệp khôi phục các đối tượng đã xóa, ngay cả khi độ tin cậy của việc xóa chúng được đảm bảo. Bạn nên sử dụng quy trình khôi phục tập tin; tính hiệu quả của nó là không thể nghi ngờ.

Bản sao bóng của các tập

Cách tiếp cận dựa trên Thủ tục Windows sao lưu tập tin, được lặp lại ở mỗi điểm khôi phục. Một điều kiện quan trọng để phương pháp này hoạt động: chức năng “Khôi phục hệ thống” phải được kích hoạt trước khi bị lây nhiễm. Tuy nhiên, mọi thay đổi đối với tệp được thực hiện sau điểm khôi phục sẽ không xuất hiện trong phiên bản được khôi phục của tệp.

Hỗ trợ

Đây là phương pháp tốt nhất trong số tất cả các phương pháp không đòi tiền chuộc. Nếu quy trình sao lưu dữ liệu sang máy chủ bên ngoài đã được sử dụng trước khi bị ransomware tấn công vào máy tính, để khôi phục các tập tin bị mã hóa bạn chỉ cần vào giao diện thích hợp, chọn tập tin cần thiết và bắt đầu cơ chế phục hồi dữ liệu từ bản sao lưu. Trước khi thực hiện thao tác, bạn phải đảm bảo rằng phần mềm tống tiền đã được loại bỏ hoàn toàn.

Kiểm tra các thành phần còn sót lại của ransomware WannaCry

Dọn dẹp trong chế độ thủ công có nhiều đoạn ransomware riêng lẻ có thể tránh bị xóa dưới dạng đối tượng hệ điều hành ẩn hoặc thành phần đăng ký. Để loại bỏ nguy cơ lưu giữ một phần các phần tử độc hại riêng lẻ, hãy quét máy tính của bạn bằng phần mềm bảo mật đáng tin cậy. gói phần mềm, chuyên về phần mềm độc hại.

Giải mã

Nhưng không có thông tin từ những người đã trả tiền để giải mã, cũng như không có thông tin về ý đồ của hacker nhằm xoa dịu tâm hồn người dân và giải mã thông tin sau khi thanh toán ((((

Nhưng trên trung tâm có thông tin về nguyên tắc hoạt động của nút Giải mã, cũng như thực tế là những kẻ tấn công không có cách nào để xác định người dùng đã gửi bitcoin, điều đó có nghĩa là sẽ không ai khôi phục bất cứ điều gì cho nạn nhân:

“Trình mã hóa tạo ra hai loại tệp: thứ nhất, một số phần được mã hóa bằng AES 128 bit và khóa giải mã được tạo sẽ được thêm trực tiếp vào tệp được mã hóa. Các tập tin được mã hóa theo cách này sẽ có phần mở rộng .wncyr và chính những thứ này sẽ được giải mã khi bạn nhấp vào Giải mã. Phần lớn nội dung được mã hóa sẽ có phần mở rộng .wncry và chìa khóa không còn ở đó nữa.
Trong trường hợp này, quá trình mã hóa không diễn ra trong chính tệp đó mà trước tiên, một tệp được tạo trên đĩa nơi đặt nội dung được mã hóa, sau đó tập tin gốc bị xóa. Theo đó, đôi khi có cơ hội khôi phục một phần dữ liệu bằng nhiều tiện ích phục hồi khác nhau.
Để chống lại những tiện ích như vậy, bộ mã hóa liên tục ghi tất cả các loại rác vào đĩa, do đó dung lượng ổ đĩa bị tiêu tốn khá nhanh.
Nhưng tại sao vẫn chưa có thông tin về thanh toán và cơ chế xác minh thì thực sự đáng ngạc nhiên. Có lẽ số tiền khá kha khá ($300) cần thiết cho một tấm séc như vậy sẽ có tác động.”

Những kẻ tạo ra virus WannaCry đã vượt qua sự bảo vệ tạm thời dưới dạng một miền vô nghĩa

Những kẻ tạo ra virus ransomware WannaCry, gây ảnh hưởng đến máy tính ở hơn 70 quốc gia, đã phát hành phiên bản mới của nó. Bo mạch chủ viết: Nó thiếu mã để truy cập vào một miền vô nghĩa, vốn được sử dụng để ngăn chặn sự lây lan của virus ban đầu. Ấn phẩm đã nhận được xác nhận về sự xuất hiện phiên bản mới virus từ hai chuyên gia nghiên cứu các trường hợp lây nhiễm máy tính mới. Một trong số họ là Costin Raiu, người đứng đầu nhóm nghiên cứu quốc tế tại Kaspersky Lab.

Các chuyên gia không nói rõ liệu có bất kỳ thay đổi nào khác xuất hiện trong WannaCry hay không.