2017 m. balandžio 12 d. pasirodė informacija apie spartų šifravimo viruso WannaCry išplitimą visame pasaulyje, kuris gali būti išverstas kaip „noriu verkti“. Vartotojams kyla klausimų dėl Windows atnaujinimo prieš WannaCry virusą.

Virusas kompiuterio ekrane atrodo taip:

Blogas WannaCry virusas, kuris užšifruoja viską

Virusas užšifruoja visus kompiuteryje esančius failus ir reikalauja iš Bitcoin piniginės 300 arba 600 USD išpirkos, kad tariamai iššifruotų kompiuterį. Kompiuteriai buvo užkrėsti 150 pasaulio šalių, labiausiai nukentėjo Rusija.

„Megafon“, „Rusijos geležinkeliai“, Vidaus reikalų ministerija, Sveikatos apsaugos ministerija ir kitos įmonės yra glaudžiai susidūrusios su šiuo virusu. Tarp aukų – ir paprasti interneto vartotojai.

Prieš virusą beveik visi lygūs. Skirtumas, ko gero, yra tas, kad įmonėse virusas plinta visame organizacijos vietiniame tinkle ir akimirksniu užkrečia maksimalų įmanomą kompiuterių skaičių.

WannaCry virusas užšifruoja failus kompiuteriuose, kuriuose naudojama „Windows“. 2017 m. kovo mėn. Microsoft išleido MS17-010 naujinimus, skirtus įvairioms Windows XP, Vista, 7, 8, 10 versijoms.

Pasirodo, tiems, kuriems Windows atnaujintas automatiškai, virusas negresia, nes atnaujinimą gavo laiku ir sugebėjo jo išvengti. Nenoriu sakyti, kad taip yra iš tikrųjų.

Ryžiai. 3. Pranešimas diegiant naujinimą KB4012212

Atnaujinus KB4012212, po įdiegimo reikėjo perkrauti nešiojamąjį kompiuterį, o tai man nelabai patiko, nes nežinia kuo tai gali baigtis, bet kur vartotojas turėtų kreiptis? Tačiau perkrovimas pavyko gerai. Tai reiškia, kad iki kito viruso atakos gyvename ramiai ir, deja, neabejotina, kad tokių atakų bus.

Bet kokiu atveju svarbu turėti kur atkurti operacinę sistemą ir failus.

Windows 8 naujinimas iš WannaCry

Nešiojamam kompiuteriui su licencijuota „Windows 8“ buvo įdiegtas naujinimas KB 4012598, nes

Facebook

Twitter

VK

Odnoklassniki

Telegrama

Gamtos mokslai

WannaCry ransomware virusas: ką daryti?

Visą pasaulį nuvilnijo naujo šifravimo viruso WannaCry (kitais pavadinimais Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) banga, kuri užšifruoja dokumentus kompiuteryje ir išvilioja 300-600 USD už jų dekodavimą. Kaip sužinoti, ar jūsų kompiuteris yra užkrėstas? Ką daryti, kad netaptumėte auka? O ką daryti norint pasveikti?

Ar jūsų kompiuteris užkrėstas Wana Decryptor ransomware virusu?

Pasak Jacobo Krusteko () iš Avast, jau buvo užkrėsti daugiau nei 100 tūkstančių kompiuterių. 57% jų yra Rusijoje (ar ne keistas selektyvumas?). praneša užregistravusi daugiau nei 45 tūkst. Užkrėsti ne tik serveriai, bet ir paprastų žmonių kompiuteriai, kuriuose įdiegtos operacinės sistemos Windows XP, Windows Vista, Windows 7, Windows 8 ir Windows 10. Visų šifruotų dokumentų pavadinime yra priešdėlis WNCRY.

Apsauga nuo viruso buvo rasta dar kovo mėnesį, kai „Microsoft“ paskelbė „lopą“, tačiau, sprendžiant iš epidemijos protrūkio, daugelis vartotojų, įskaitant sistemos administratorius, nepaisė kompiuterio saugos naujinimo. Ir tai, kas atsitiko, atsitiko – „Megafon“, „Rusijos geležinkeliai“, Vidaus reikalų ministerija ir kitos organizacijos dirba gydydami savo užkrėstus kompiuterius.

Atsižvelgdama į pasaulinį epidemijos mastą, gegužės 12 d. „Microsoft“ paskelbė apsaugos naujinimą seniai nepalaikomiems produktams – „Windows XP“ ir „Windows Vista“.

Galite patikrinti, ar jūsų kompiuteris neužkrėstas, naudodami antivirusinę programą, pavyzdžiui, „Kaspersky“ arba (taip pat rekomenduojama „Kaspersky“ palaikymo forume).

Kaip netapti Wana Decryptor ransomware viruso auka?

Pirmas dalykas, kurį turite padaryti, yra uždaryti skylę. Norėdami tai padaryti, atsisiųskite

• Daugiau nei 200 000 kompiuterių jau buvo užkrėsti!

Pagrindiniai atakos taikiniai buvo nukreipti į įmonių sektorių, o antroje vietoje atsidūrė telekomunikacijų bendrovės Ispanijoje, Portugalijoje, Kinijoje ir Anglijoje.

• Didžiausias smūgis buvo padarytas Rusijos vartotojams ir įmonėms. Įskaitant „Megafon“, Rusijos geležinkelius ir, nepatvirtintais duomenimis, Tyrimų komitetą bei Vidaus reikalų ministeriją. „Sberbank“ ir Sveikatos apsaugos ministerija taip pat pranešė apie atakas prieš jų sistemas.

Už duomenų iššifravimą užpuolikai reikalauja išpirkos nuo 300 iki 600 dolerių bitkoinais (apie 17 000-34 000 rublių).

Windows 10 versijos 1909 naujinimas

Interaktyvus infekcijos žemėlapis (SPUSTELKITE ŽEMĖLAPĮ)
Išpirkos langas
Šifruoja failus su šiais plėtiniais

Nepaisant to, kad virusas nukreiptas į įmonių sektorių, paprastas vartotojas taip pat nėra apsaugotas nuo WannaCry įsiskverbimo ir galimo prieigos prie failų praradimo.

• Nurodymai, kaip apsaugoti kompiuterį ir jame esančius duomenis nuo užkrėtimo:

1. Įdiekite „Kaspersky System Watcher“ programą, kurioje yra įmontuota funkcija, leidžianti atšaukti pakeitimus, atsiradusius dėl šifruotojo, kuris sugebėjo apeiti saugos priemones, veiksmų.

2. Kaspersky Lab antivirusinės programinės įrangos naudotojams rekomenduojama patikrinti, ar įjungta „System Monitor“ funkcija.

3. Antivirusinės programos iš ESET NOD32, skirtos „Windows 10“, naudotojai buvo pristatyti norėdami patikrinti, ar nėra naujų galimų OS naujinimų. Jei iš anksto pasirūpinote ir buvote jį įjungę, tuomet visi reikalingi nauji Windows atnaujinimai bus įdiegti ir jūsų sistema bus visiškai apsaugota nuo šio WannaCryptor viruso ir kitų panašių atakų.

4. Taip pat ESET NOD32 produktų vartotojai programoje turi tokią funkciją kaip dar nežinomų grėsmių aptikimas. Šis metodas pagrįstas elgesio, euristinių technologijų naudojimu.

Jei virusas elgiasi kaip virusas, greičiausiai tai yra virusas.

Nuo gegužės 12 dienos debesų sistemos ESET LiveGrid technologija labai sėkmingai atmušė visas šio viruso atakas ir visa tai įvyko dar prieš atnaujinant parašų duomenų bazę.

5. ESET technologijos užtikrina saugumą ir įrenginiuose, kuriuose veikia senos sistemos Windows XP, Windows 8 ir Windows Server 2003 ( Rekomenduojame nebenaudoti šių pasenusių sistemų). Dėl labai didelės grėsmės šioms OS „Microsoft“ nusprendė išleisti naujinimus. Atsisiųskite juos.

6. Kad sumažintumėte žalos jūsų kompiuteriui grėsmę, turite skubiai atnaujinti „Windows 10“ versiją: Pradėti - Nustatymai - Atnaujinimas ir sauga - Patikrinkite, ar nėra naujinimų (kitais atvejais: Pradėti - Visos programos - Windows naujinimas - Ieškoti naujinimų - Atsisiųskite ir įdiekite).

7. Įdiekite oficialią pataisą (MS17-010) iš Microsoft, kuri ištaiso SMB serverio klaidą, per kurią virusas gali prasiskverbti. Šis serveris dalyvauja šioje atakoje.

8. Įsitikinkite, kad visi galimi saugos įrankiai jūsų kompiuteryje veikia ir veikia.

9. Nuskaitykite visą sistemą, ar nėra virusų. Atskleidus kenkėjišką ataką, skambinama MEM:Trojan.Win64.EquationDrug.gen, paleiskite sistemą iš naujo.

Ir dar kartą rekomenduoju patikrinti, ar MS17-010 pataisos yra įdiegtos.

Šiuo metu Kaspersky Lab, ESET NOD32 ir kitų antivirusinių produktų specialistai aktyviai kuria failų iššifravimo programą, kuri padės užkrėstų kompiuterių vartotojams atkurti prieigą prie failų.

2017 metų gegužės 1 ir 2 dienomis kompiuteriuose, kuriuose veikia Windows OS, įvyko didelio masto virusų ataka. Vien Rusijoje buvo užkrėsta apie 30 000 kompiuterių. Tarp aukų buvo ne tik paprasti vartotojai, bet ir daugybė organizacijų bei vyriausybinių įstaigų. Remiantis tinklo ataskaitomis, Rusijos Federacijos Vidaus reikalų ministerijos Konstitucinis Teismas ir „Magathon“ tinklas buvo iš dalies užkrėsti. Taip pat nemažai kitų, mažiau žinomų organizacijų nukentėjo nuo WannaCry atakos, arba kaip dažniau vadinama – WCry. Kaip išpirkos reikalaujantis virusas pateko į tokius apsaugotus įrenginius, kol kas nežinoma. Ar tai buvo vieno iš vartotojų klaidos pasekmė, ar tai yra bendras ministerijos tinklo pažeidžiamumas, nepranešama. Pirmoji informacija apie RuNet pasirodė Kaspersky svetainėje (formoje), kur buvo aktyviai diskutuojama apie naująjį virusą.

Kas tai per virusas?

Įsiskverbęs į kompiuterį virusas išsipakuoja, įdiegdamas savo sistemos šifravimo kodus vartotojo duomenims ir fone pradeda šifruoti visą kompiuteryje esančią informaciją savais failovardas.wncry tipo kodais. Štai kas nutinka, kai kompiuteris užfiksuoja virusą:

• Iš karto po patekimo į sistemą virusas pradeda visiškai valdyti sistemą, blokuodamas bet kokios programinės įrangos paleidimą, net ir neįdiegęs,
• Antivirusinės ir komunalinės paslaugos, kurių nereikia diegti, kurios paleidžiamos iškart prijungus diską prie sistemos, taip pat neduoda jokio rezultato ir tiesiog nepasileidžia,
• Visi USB prievadai ir diskai nustoja veikti,
• Ekraną blokuos Wana DecryptOr 2.0 reklamjuostė, informuojanti, kad jūsų kompiuteris užkrėstas virusu, visi jame esantys duomenys yra užšifruoti, o už išpirkos reikalaujančią programą reikia sumokėti.

Viruso savininkai siūlo vartotojui į savo sąskaitą pervesti sumą, lygią 300 USD bitkoinais. Taip pat yra informacijos, kad nesumokėjus reikiamos sumos per 3 dienas, mokėjimo suma bus padvigubinta. Jei apmokėjimas nebus gautas per savaitę, virusas ištrins visus vartotojo duomenis iš kompiuterio. Sprendžiant iš kai kurių mūsų vartotojų informacijos, ši laiko schema nėra vienoda visiems, o yra įrenginių, kuriuose mokėjimo už išpirkos reikalaujančias programas laikotarpis yra 14 dienų.

Kaip apsisaugoti nuo viruso.

Panikuoti neverta, virusas nėra naujas ir nuo jo negalima apsisaugoti. Tai paprastas šifruoklis, su kurio analogais jau susidūrėme keletą kartų. Kad neužkrėstumėte kompiuterio virusu, būkite atsargūs naudodami visą programinę įrangą. Nerekomenduojame atnaujinti jokios programinės įrangos, net ir įmontuotos, kol tiksliai nenustatyta, kaip virusas prasiskverbia į sistemą. Esame linkę manyti, kad virusas į kompiuterį patenka per kokios nors programos pažeidžiamumą. O programų pažeidžiamumai dažniausiai atsiranda po nesėkmingai sukurto atnaujinimo, kuriame yra tokia didžiulė „skylė“, leidžianti virusams patekti į sistemą. Jei turite patirties ir galimybių, įdiekite aukštos kokybės trečiosios šalies užkardą ir kurį laiką sustiprinkite sistemos ir tinklo veiklos stebėjimą.

Pagalba aukoms

Penktadienį, gegužės 12 d., į mus kreipėsi nuolatinis klientas dizaineris su nešiojamu kompiuteriu, kuriame buvo saugomi jo maketai, šaltiniai ir kiti grafiniai failai. Jo kompiuteriai buvo užkrėsti WannaCryptor virusu. Buvo atlikta daugybė „eksperimentų“, kurie davė rezultatų! Štai kas mums padėjo:

• Išardėme kompiuterį, išėmėme standųjį diską su duomenimis,
• Prijungė diską prie „iMac“,
• Ieškodami iššifruotojų, radome keletą, kurie padėjo išgauti kai kuriuos duomenis iš D disko.
• Po to klientas nusprendė iš naujo įdiegti sistemą ir ištrinti likusius duomenis,
• Tik tuo atveju, mes padarėme sistemos vaizdą savo saugojimo įrenginyje, kai tik atsiras problemos sprendimas, išsaugosime likusius duomenis.

Mieli draugai, jei tapote šio viruso auka, susisiekite su mumis, pasistengsime padėti. Eksperimentus atliekame nemokamai) Ir čia mes jums išsamiai pasakysime, kaip. Kovokime su blogiu kartu!

Gegužės 12 dieną tapo žinoma apie rekordiniu greičiu plintantį šifravimo virusą: per vieną savaitgalį jis užkrėtė daugiau nei 200 tūkstančių kompiuterių 150 šalių. Po to viruso plitimas buvo sustabdytas, tačiau per dieną pasirodė dar kelios viruso versijos ir jo plitimas tęsiasi. Todėl skelbiame atsakymus į kai kuriuos klausimus, kurie bendrai pasakys, koks tai virusas, iš kur jis atkeliavo ir padės apsaugoti kompiuterį.

Kuzmichas Pavelas Aleksejevičius, ITMO universiteto Kompiuterinės ekspertizės laboratorijos direktorius.

Ar virusas užkrečia atskirų vartotojų kompiuterius ir kitus įrenginius?
Taip, virusas taip pat gali užkrėsti vartotojų kompiuterius. Labiausiai tikėtina, kad tų organizacijų, kuriose buvo aptikta infekcija, darbuotojai naudojo kompiuterius laiškams gauti ir „naršyti“ internete ir, neįsitikinę gautų laiškų bei jų atidarytų svetainių saugumu, į juos atsisiuntė kenkėjišką programinę įrangą. Šis sukčiavimo būdas negali būti vadinamas nauju: vadinamųjų šifravimo virusų problema aktuali jau keletą metų, o 300 USD kaina gali būti laikoma gana „humaniška“. Taigi prieš pusantrų metų į mūsų laboratoriją kreipėsi viena organizacija, iš kurios užpuolikai pareikalavo 700 USD tais pačiais bitkoinais už tik vieno failo iššifravimą su klientais.

Ką daryti, kad išvengtumėte viruso poveikio?
Pirma, būkite atsargūs, kur lankotės internete. Antra, atidžiai stebėkite savo paštą ir prieš atidarydami laiškuose esančius failus įsitikinkite, kad tai nėra apgaulingas laiškas. Labai dažnai virusai platinami failuose, pridedamuose prie laiškų neva iš Rostelecom, kur darbuotojas tariamai atsiunčia sąskaitą apmokėjimui. Dažnai tie patys apgaulingi laiškai pradėjo atvykti „Sberbank“, taip pat antstolių vardu. Kad netaptumėte užpuolikų auka, reikėtų atidžiai pasižiūrėti, kur veda laiške esanti nuoroda, taip pat kokio plėtinio turi prie laiško pridėtas failas. Na, taip pat svarbu bent kartais pasidaryti svarbių dokumentų atsargines kopijas į atskiras keičiamas laikmenas.

Ar tai reiškia, kad dabar užblokuotos visos užpultų organizacijų duomenų bazės? Ar užpuolikai galės juos panaudoti savo tikslams? Ar bus paveikti šių duomenų bazių asmens duomenys?
Manau, kad apie darbo blokavimą, žinoma, neverta kalbėti: greičiausiai tai atskirų darbo vietų problema. Tačiau kiek nerimą kelia tai, kad įvairių skyrių darbuotojai darbo kompiuterius naudoja ne tik darbui internete. Gali būti, kad tokiu būdu gali būti pažeista jų klientų konfidenciali informacija – komercinių organizacijų atveju, taip pat didelė asmens duomenų apimtis – vyriausybės departamentų atveju. Tikimasi, kad tokia informacija šiuose kompiuteriuose nebuvo apdorota.

Ar situacija paveiks „MegaFon“ abonentus? Ar pavojinga dabar naudotis mobiliuoju internetu?
Greičiausiai ne, nes tinklo infrastruktūros elementai tikrai yra apsaugoti nuo tokio tipo atakų. Be to, su didele tikimybe galime teigti, kad šis virusas yra skirtas Microsoft gaminamos operacinės sistemos pažeidžiamumui, o didžiąją dalį tinklo įrangos valdo arba jos pačios, arba Linux šeimos operacinės sistemos.

Kas atsitinka, kai virusas patenka į sistemą? Kaip sužinoti, ar jūsų kompiuteris yra užkrėstas?
Dažniausiai infekcija ir aktyvioji viruso fazė – duomenų šifravimas – pasireiškia ženkliu kompiuterio našumo sumažėjimu. Taip yra dėl to, kad šifravimas yra itin daug išteklių reikalaujantis procesas. Tai taip pat galima pastebėti, kai pasirodo failai su nežinomu plėtiniu, tačiau paprastai šiame etape jau per vėlu imtis kokių nors veiksmų.

Ar bus galima atkurti užrakintus duomenis?
Dažnai neįmanoma atkurti. Anksčiau raktas buvo vienodas visiems užsikrėtusiems žmonėms, tačiau po to, kai virusas buvo sugautas ir iššifruotas, o standartiniai kodai tapo plačiai žinomi (juos galima rasti antivirusinės programinės įrangos gamintojų forumuose), užpuolikai pradėjo šifruoti informaciją su kiekvieną kartą naujas raktas. Beje, virusai naudoja sudėtingą šifro versiją: dažniausiai tai yra asimetrinis šifravimas, o sulaužyti tokį šifrą yra labai sunku, itin daug laiko ir resursų, o tai iš tikrųjų tampa neįmanoma.

Kiek laiko virusas plis internete?
Manau, kad tol, kol jos autoriai neišplatins. Ir tai vyks tol, kol platintojus nepagaus teisėsaugos institucijos arba kol vartotojai nustos atidaryti elektroninius laiškus su virusais ir pradės atidžiau žiūrėti į savo veiksmus internete.

Grigorijus Sablinas, virusų analitikas, ITMO universiteto informacijos saugumo srities ekspertas, tarptautinių kompiuterinės informacijos apsaugos konkursų laureatas (atsargiai: programuotojo žodynas!).

Užpuolikai naudojasi SMB protokolo MS17_010 pažeidžiamumu – pataisa jau yra Microsoft serveriuose. Tie, kurie neatnaujino, gali būti platinami. Bet, galima sakyti, patys kalti šie vartotojai – naudojo piratinę programinę įrangą arba neatnaujino „Windows“. Man pačiam įdomu, kaip susiklostys situacija: buvo panaši istorija su MS08_67 klaida, paskui ją panaudojo kirminas Kido, tada irgi daug žmonių užsikrėtė. Ką dabar galiu rekomenduoti: reikia arba išjungti kompiuterį, arba atnaujinti Windows. Galite tikėtis, kad daugelis antivirusinių kompanijų varžysis dėl teisės išleisti iššifravimo įrankį. Jei jiems pavyks tai padaryti, tai bus puikus PR žingsnis, taip pat galimybė užsidirbti gerų pinigų. Netiesa, kad bus galima atkurti visus užrakintus failus. Šis virusas gali prasiskverbti bet kur dėl to, kad daugelis kompiuterių dar nėra atnaujinti. Beje, šis išnaudojimas buvo paimtas iš archyvo, kuris buvo „nutekęs“ iš JAV Nacionalinio saugumo agentūros (NSA), tai yra pavyzdys, kaip žvalgybos tarnybos gali veikti bet kokioje kritinėje situacijoje.

ITMO universiteto spaudos tarnybos duomenimis