Dana 12. travnja 2017. pojavile su se informacije o brzom širenju virusa enkripcije WannaCry svijetom, što se može prevesti kao "Želim plakati". Korisnici imaju pitanja o ažuriranju sustava Windows protiv virusa WannaCry.

Virus na ekranu računala izgleda ovako:

Loš WannaCry virus koji šifrira sve

Virus šifrira sve datoteke na računalu i traži otkupninu za Bitcoin novčanik u iznosu od 300 ili 600 dolara za navodno dekriptiranje računala. Zaražena su računala u 150 zemalja svijeta, a najviše je pogođena Rusija.

Megafon, Ruske željeznice, Ministarstvo unutarnjih poslova, Ministarstvo zdravlja i druge tvrtke blisko su suočene s ovim virusom. Među žrtvama su i obični korisnici interneta.

Pred virusom su gotovo svi jednaki. Razlika je možda u tome što se u tvrtkama virus širi lokalnom mrežom unutar organizacije i trenutno inficira najveći mogući broj računala.

Virus WannaCry šifrira datoteke na računalima koja koriste Windows. Microsoft je izdao ažuriranja MS17-010 za različite verzije sustava Windows XP, Vista, 7, 8, 10 još u ožujku 2017.

Ispostavilo se da oni koji imaju automatski ažuriran Windows nisu u opasnosti od virusa, jer su dobili ažuriranje na vrijeme i uspjeli su ga izbjeći. Ne usuđujem se reći da je to zapravo slučaj.

Riža. 3. Poruka prilikom instaliranja ažuriranja KB4012212

Ažuriranje KB4012212 zahtijevalo je ponovno pokretanje prijenosnog računala nakon instalacije, što mi se baš i nije svidjelo, jer nije poznato kako bi to moglo završiti, ali gdje bi korisnik trebao ići? Međutim, ponovno pokretanje je prošlo dobro. To znači da živimo mirno do sljedećeg napada virusa, a takvih napada, nažalost, nema sumnje.

U svakom slučaju, važno je imati mjesto odakle vratiti operativni sustav i svoje datoteke.

Ažuriranje za Windows 8 od WannaCry

Za prijenosno računalo s licenciranim sustavom Windows 8 instalirano je ažuriranje KB 4012598 jer

Facebook

Cvrkut

VK

Odnoklassniki

Telegram

Prirodna znanost

WannaCry ransomware virus: što učiniti?

Svijet je zahvatio val novog enkripcijskog virusa WannaCry (drugi nazivi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) koji šifrira dokumente na računalu i iznuđuje 300-600 USD za njihovo dekodiranje. Kako možete znati je li vaše računalo zaraženo? Što trebate učiniti da ne postanete žrtva? I što učiniti da se oporavi?

Je li vaše računalo zaraženo ransomware virusom Wana Decryptor?

Prema Jacobu Krusteku () iz Avasta, već je zaraženo preko 100 tisuća računala. 57% ih je u Rusiji (nije li to čudna selektivnost?). izvještava o registraciji više od 45 tisuća infekcija. Zaraženi su ne samo serveri, već i računala običnih ljudi na kojima su instalirani operativni sustavi Windows XP, Windows Vista, Windows 7, Windows 8 i Windows 10. Svi kriptirani dokumenti u svom nazivu imaju prefiks WNCRY.

Zaštita od virusa pronađena je još u ožujku, kada je Microsoft objavio "zakrpu", ali, sudeći po izbijanju epidemije, mnogi korisnici, uključujući administratore sustava, zanemarili su sigurnosnu nadogradnju računala. I dogodilo se što se dogodilo - Megafon, Ruske željeznice, Ministarstvo unutarnjih poslova i druge organizacije rade na liječenju svojih zaraženih računala.

S obzirom na globalne razmjere epidemije, Microsoft je 12. svibnja objavio zaštitno ažuriranje za dugo nepodržane proizvode – Windows XP i Windows Vista.

Možete provjeriti je li vaše računalo zaraženo pomoću antivirusnog uslužnog programa, na primjer, Kaspersky ili (koji se također preporučuje na Kaspersky forumu za podršku).

Kako izbjeći da postanete žrtva ransomware virusa Wana Decryptor?

Prvo što morate učiniti je zatvoriti rupu. Da biste to učinili, preuzmite

• Već je zaraženo više od 200.000 računala!

Glavne mete napada bile su usmjerene na korporativni sektor, zatim na telekomunikacijske tvrtke u Španjolskoj, Portugalu, Kini i Engleskoj.

• Najveći udarac zadat je ruskim korisnicima i tvrtkama. Uključujući Megafon, Ruske željeznice i, prema nepotvrđenim informacijama, Istražni odbor i Ministarstvo unutarnjih poslova. Sberbank i Ministarstvo zdravstva također su izvijestili o napadima na svoje sustave.

Za dešifriranje podataka napadači traže otkupninu od 300 do 600 dolara u bitcoinima (oko 17.000-34.000 rubalja).

Ažuriranje sustava Windows 10 verzija 1909

Interaktivna karta zaraze (KLIKNITE NA KARTU)
Prozor za otkupninu
Šifrira datoteke sa sljedećim ekstenzijama

Unatoč tome što virus cilja na korporativni sektor, prosječni korisnik također nije imun od prodora WannaCryja i mogućeg gubitka pristupa datotekama.

• Upute za zaštitu vašeg računala i podataka na njemu od infekcije:

1. Instalirajte aplikaciju Kaspersky System Watcher koja je opremljena ugrađenom funkcijom za vraćanje promjena uzrokovanih radnjama šifratora koji je uspio zaobići sigurnosne mjere.

2. Korisnicima antivirusnog softvera tvrtke Kaspersky Lab preporučuje se da provjere je li omogućena funkcija “System Monitor”.

3. Korisnici antivirusnog programa ESET NOD32 za Windows 10 upoznati su s provjerom novih dostupnih ažuriranja OS-a. Ako ste se unaprijed pobrinuli i dali ga uključiti, tada će se instalirati sva potrebna nova ažuriranja Windowsa i vaš sustav će biti potpuno zaštićen od ovog virusa WannaCryptor i drugih sličnih napada.

4. Također, korisnici proizvoda ESET NOD32 imaju takvu funkciju u programu kao otkrivanje još nepoznatih prijetnji. Ova se metoda temelji na korištenju bihevioralnih, heurističkih tehnologija.

Ako se virus ponaša kao virus, najvjerojatnije je virus.

Od 12. svibnja tehnologija cloud sustava ESET LiveGrid vrlo uspješno odbija sve napade ovog virusa, a sve se to dogodilo i prije ažuriranja baze potpisa.

5. ESET tehnologije pružaju sigurnost i za uređaje koji pokreću naslijeđene sustave Windows XP, Windows 8 i Windows Server 2003 ( Preporučujemo da prestanete koristiti ove zastarjele sustave). Zbog vrlo visoke razine prijetnje koja se pojavljuje za ove OS-e, Microsoft je odlučio izdati ažuriranja. Preuzmite ih.

6. Kako biste umanjili prijetnju štete vašem računalu, morate hitno ažurirati svoju verziju sustava Windows 10: Start - Postavke - Ažuriranje i sigurnost - Provjeri ažuriranja (u drugim slučajevima: Start - Svi programi - Windows Update - Traži ažuriranja - Preuzmite i instalirajte).

7. Instalirajte službenu zakrpu (MS17-010) od Microsofta, koja ispravlja grešku SMB poslužitelja kroz koji virus može prodrijeti. Ovaj poslužitelj je uključen u ovaj napad.

8. Provjerite rade li svi dostupni sigurnosni alati i rade li na vašem računalu.

9. Skenirajte cijeli sustav na viruse. Nakon izlaganja zlonamjernom napadu tzv MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.

I još jednom preporučujem da provjerite jesu li MS17-010 zakrpe instalirane.

Trenutačno stručnjaci iz Kaspersky Laba, ESET NOD32 i drugih antivirusnih proizvoda aktivno rade na pisanju programa za dešifriranje datoteka koji će pomoći korisnicima zaraženih računala da vrate pristup datotekama.

Dana 1. i 2. svibnja 2017. dogodio se veliki virusni napad na računala s operativnim sustavom Windows. Samo u Rusiji zaraženo je oko 30.000 računala. Među žrtvama nisu bili samo obični korisnici, već i mnoge organizacije i vladine agencije. Prema izvješćima s mreže, Ustavni sud Ministarstva unutarnjih poslova Ruske Federacije i mreža Magathon bili su djelomično zaraženi. Također, niz drugih, manje poznatih organizacija, pretrpjeo je napad WannaCry ili kako ga češće nazivaju – WCry. Još nije poznato kako je ransomware virus prodro u takve zaštićene uređaje. Je li to posljedica pogreške nekog od korisnika ili se radi o općoj ranjivosti mreže Ministarstva, ne javljaju. Prve informacije o RuNetu pojavile su se na web stranici Kaspersky (u obliku), gdje se aktivno raspravljalo o novom virusu.

Kakav je ovo virus?

Nakon prodora u računalo, virus se raspakira, instalira vlastite kodove sustava za šifriranje korisničkih podataka, te u pozadini počinje šifrirati sve informacije na računalu vlastitim kodovima tipa filename.wncry. Evo što se događa nakon što vaše računalo uhvati virus:

• Odmah nakon ulaska u sustav, virus počinje potpuno kontrolirati sustav, blokirajući pokretanje bilo kojeg softvera, čak i bez instalacije,
• Antivirusi i uslužni programi koji ne zahtijevaju instalaciju, koji se pokreću odmah nakon povezivanja pogona sa sustavom, također ne daju nikakav rezultat i jednostavno se ne pokreću,
• Svi USB priključci i pogoni prestaju raditi,
• Zaslon će biti blokiran bannerom Wana DecryptOr 2.0 koji vas obavještava da je vaše računalo zaraženo virusom, da su svi podaci na njemu šifrirani i da trebate platiti ransomware.

Vlasnici virusa nude korisniku da na njihov račun prebaci iznos od 300 dolara u bitcoinima. Također postoji informacija da ako ne uplatite traženi iznos u roku od 3 dana, iznos uplate će se udvostručiti. Ako se uplata ne primi unutar tjedan dana, virus će izbrisati sve korisničke podatke s računala. Sudeći prema informacijama nekih naših korisnika, ova vremenska shema nije ista za sve, a postoje uređaji na kojima je rok plaćanja za ransomware 14 dana.

Kako se zaštititi od virusa.

Nema potrebe za panikom; virus nije nov i od njega se ne može zaštititi. Ovo je obični kriptor, čije smo analoge već nekoliko puta susreli. Kako biste izbjegli zarazu računalnim virusom, budite oprezni pri korištenju svih softvera. Ne preporučamo ažuriranje softvera, čak ni ugrađenog, dok se točno ne utvrdi na koji način virus prodire u sustav. Skloni smo vjerovati da virus ulazi u računalo kroz ranjivosti u nekom programu. A ranjivosti u programima najčešće se pojavljuju nakon neuspješno razvijenog ažuriranja, u kojem postoji tako ogromna "rupa" koja omogućuje virusima da uđu u sustav. Ako imate iskustva i mogućnosti, instalirajte visokokvalitetni vatrozid treće strane i na neko vrijeme pojačajte nadzor nad sustavom i mrežnom aktivnošću.

Pomaganje žrtvama

U petak, 12. svibnja, javio nam se stalni klijent, dizajner, s prijenosnim računalom na kojem su pohranjeni njegovi prijelomi, izvori i druge grafičke datoteke. Njegova su računala bila zaražena virusom WannaCryptor. Provedeni su brojni “eksperimenti” koji su dali rezultate! Evo što nam je pomoglo:

• Računalo smo rastavili, izvadili tvrdi disk s podacima,
• Spojio disk na iMac,
• Pretraživanjem dešifratora pronašli smo nekoliko koji su pomogli izvući neke od podataka s pogona D.
• Nakon toga, korisnik je odlučio ponovno instalirati sustav i izbrisati preostale podatke,
• Za svaki slučaj, napravili smo sliku sustava na našem uređaju za pohranu, čim se pojavi rješenje problema, spremit ćemo preostale podatke.

Dragi prijatelji, ako ste postali žrtva ovog virusa, javite nam se, pokušat ćemo vam pomoći. Eksperimente provodimo besplatno) A ovdje ćemo vam detaljno reći kako. Borimo se zajedno protiv zla!

12. svibnja doznalo se za virus šifriranja koji se širio rekordnom brzinom: u jednom vikendu zarazio je više od 200 tisuća računala u 150 zemalja. Nakon toga, širenje virusa je zaustavljeno, no u roku od jednog dana pojavilo se još nekoliko verzija virusa i njegovo širenje se nastavlja. Stoga objavljujemo odgovore na neka pitanja koja će vam općenito reći o kakvom se virusu radi, odakle je došao i pomoći će vam u zaštiti vašeg računala.

Kuzmič Pavel Aleksejevič, Ravnatelj Laboratorija za računalnu forenziku na Sveučilištu ITMO.

Inficira li virus računala i druge uređaje pojedinačnih korisnika?
Da, virus također može zaraziti računala korisnika. Najvjerojatnije su zaposlenici onih organizacija u kojima je otkrivena infekcija koristili računala za primanje pošte i "surfanje" internetom te su, ne uvjereni u sigurnost primljenih pisama i stranica koje su otvarali, na njih preuzimali zlonamjerni softver. Ova metoda prijevare ne može se nazvati novom: problem takozvanih enkripcijskih virusa aktualan je već nekoliko godina, a cijena od 300 dolara može se smatrati prilično "humanom". Tako je prije godinu i pol jedna organizacija kontaktirala naš laboratorij od kojeg su napadači tražili 700 dolara u istim bitcoinima za dekriptiranje samo jedne datoteke s klijentima.

Što možete učiniti kako biste izbjegli izlaganje virusu?
Prvo, pazite gdje idete na Internet. Drugo, pažljivo pratite svoju poštu i, prije otvaranja bilo koje datoteke u pismima, uvjerite se da to nije lažno pismo. Vrlo često se virusi distribuiraju u datotekama priloženim pismima navodno Rostelecoma, gdje zaposlenik navodno šalje fakturu za plaćanje. Često su ista lažna pisma počela stizati u ime Sberbanke, kao i sudskih izvršitelja. Kako ne biste postali žrtva napadača, trebali biste pažljivo pogledati kamo vodi link u pismu, kao i koju ekstenziju ima datoteka priložena uz pismo. Pa, također je važno barem ponekad napraviti sigurnosne kopije važnih dokumenata na zasebne prijenosne medije.

Znači li to da su sve baze podataka napadnutih organizacija sada blokirane? Hoće li ih napadači moći iskoristiti za svoje potrebe? Hoće li to utjecati na osobne podatke iz tih baza podataka?
Mislim da o blokadi rada, naravno, ne vrijedi govoriti: najvjerojatnije je to problem pojedinih radnih mjesta. No, pomalo je zabrinjavajuća činjenica da zaposlenici raznih odjela radna računala koriste ne samo za rad na internetu. Sasvim je moguće da bi na taj način mogli biti kompromitirani povjerljivi podaci njihovih klijenata – u slučaju komercijalnih organizacija, kao i velika količina osobnih podataka – u slučaju državnih odjela. Nadamo se da takve informacije nisu obrađene na tim računalima.

Hoće li situacija utjecati na pretplatnike MegaFona? Je li sada opasno koristiti mobilni internet?
Najvjerojatnije ne, budući da su infrastrukturni elementi mreže sigurno zaštićeni od ove vrste napada. Štoviše, s velikim stupnjem vjerojatnosti možemo reći da je ovaj virus dizajniran za ranjivosti u operativnom sustavu koji proizvodi Microsoft, a velika većina mrežne opreme kontrolira se ili vlastitim operativnim sustavom ili operativnim sustavima iz obitelji Linux.

Što se događa kada virus uđe u sustav? Kako možete znati je li vaše računalo zaraženo?
Najčešće se infekcija i aktivna faza virusa - šifriranje podataka - očituje u obliku značajnog smanjenja performansi računala. To je posljedica činjenice da je enkripcija proces koji zahtijeva izuzetno mnogo resursa. To se također može primijetiti kada se pojave datoteke s nepoznatom ekstenzijom, ali obično je u ovoj fazi prekasno za bilo kakvu akciju.

Hoće li biti moguće vratiti zaključane podatke?
Često ga je nemoguće obnoviti. Prethodno je ključ bio isti za sve zaražene osobe, ali nakon što je virus uhvaćen i dešifriran, a standardni kodovi postali naširoko poznati (mogu se pronaći na forumima proizvođača antivirusnog softvera), napadači su počeli šifrirati informacije s svaki put novi ključ. Inače, virusi koriste složenu verziju šifre: najčešće je to asimetrična enkripcija, a razbijanje takve šifre je vrlo teško, iznimno dugotrajno i resursno, što zapravo postaje nemoguće.

Koliko dugo će se virus širiti internetom?
Mislim da dok ga njegovi autori ne distribuiraju. I to će se događati sve dok distributere ne uhvate agencije za provođenje zakona ili dok korisnici ne prestanu otvarati e-poštu s virusima i počnu biti pažljiviji prema svojim postupcima na internetu.

Grigorij Sablin, analitičar virusa, stručnjak za informacijsku sigurnost na Sveučilištu ITMO, pobjednik međunarodnih natjecanja u zaštiti računalnih informacija (oprez: programerski rječnik!).

Napadači iskorištavaju ranjivost u SMB protokolu MS17_010 - zakrpa je već na Microsoftovim poslužiteljima. Oni koji nisu ažurirani mogu biti predmet distribucije. Ali, možemo reći, ti su korisnici sami krivi - koristili su piratski softver ili nisu ažurirali Windows. I mene zanima kako će se situacija razvijati: bila je slična priča s greškom MS08_67, zatim ju je koristio crv Kido, a onda su se i mnogi zarazili. Što sada mogu preporučiti: trebate ili isključiti računalo ili ažurirati Windows. Možete očekivati ​​da će se mnoge antivirusne tvrtke natjecati za pravo izdavanja uslužnog programa za dešifriranje. Ako im to pođe za rukom, bit će to sjajan PR potez, ali i prilika za dobru zaradu. Nije činjenica da će biti moguće vratiti sve zaključane datoteke. Ovaj virus može prodrijeti bilo gdje zbog činjenice da mnoga računala još nisu ažurirana. Inače, ovaj exploit je preuzet iz arhive koja je “procurila” iz američke Nacionalne sigurnosne agencije (NSA), odnosno ovo je primjer kako obavještajne službe mogu djelovati u svakoj izvanrednoj situaciji.

Prema press službi Sveučilišta ITMO