12. aprila 2017 so se pojavile informacije o hitrem širjenju šifrirnega virusa WannaCry po vsem svetu, kar lahko prevedemo kot "Želim jokati." Uporabniki imajo vprašanja o posodobitvi sistema Windows proti virusu WannaCry.

Virus na računalniškem zaslonu izgleda takole:

Slab virus WannaCry, ki šifrira vse

Virus šifrira vse datoteke v računalniku in zahteva odkupnino za Bitcoin denarnico v višini 300 ali 600 dolarjev za domnevno dešifriranje računalnika. Okuženi so bili računalniki v 150 državah sveta, najbolj prizadeta je bila Rusija.

Megafon, Ruske železnice, ministrstvo za notranje zadeve, ministrstvo za zdravje in druga podjetja se tesno soočajo s tem virusom. Med žrtvami so navadni uporabniki interneta.

Pred virusom so skoraj vsi enaki. Razlika je morda v tem, da se v podjetjih virus širi po lokalnem omrežju znotraj organizacije in takoj okuži največje možno število računalnikov.

Virus WannaCry šifrira datoteke v računalnikih z operacijskim sistemom Windows. Microsoft je marca 2017 izdal posodobitve MS17-010 za različne različice operacijskega sistema Windows XP, Vista, 7, 8, 10.

Izkazalo se je, da tisti, ki imajo sistem Windows samodejno posodobljen, niso ogroženi zaradi virusa, saj so posodobitev prejeli pravočasno in so se ji lahko izognili. Ne upam si trditi, da je temu dejansko tako.

riž. 3. Sporočilo ob namestitvi posodobitve KB4012212

Posodobitev KB4012212 je zahtevala ponovni zagon prenosnika po namestitvi, kar mi ni bilo všeč, ker ni znano, kako bi se to lahko končalo, ampak kam naj gre uporabnik? Vendar je bil ponovni zagon v redu. To pomeni, da živimo mirno do naslednjega napada virusa in, žal, ni dvoma, da bo do takih napadov prišlo.

V vsakem primeru je pomembno, da imate prostor za obnovitev operacijskega sistema in datotek.

Posodobitev sistema Windows 8 iz WannaCry

Za prenosnik z licenčnim Windows 8 je bila nameščena posodobitev KB 4012598, ker

Facebook

Twitter

VK

Odnoklassniki

Telegram

Naravoslovje

Izsiljevalski virus WannaCry: kaj storiti?

Svet je zajel val novega šifrirnega virusa WannaCry (druga imena Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ki šifrira dokumente v računalniku in za dekodiranje izsiljuje 300-600 USD. Kako veste, ali je vaš računalnik okužen? Kaj morate storiti, da ne boste postali žrtev? In kaj storiti za okrevanje?

Ali je vaš računalnik okužen z izsiljevalskim virusom Wana Decryptor?

Po besedah ​​Jacoba Krusteka () iz Avasta je okuženih že več kot 100 tisoč računalnikov. 57% jih je v Rusiji (ali ni to čudna selektivnost?). poroča o registraciji več kot 45 tisoč okužb. Okuženi niso le strežniki, ampak tudi računalniki običajnih ljudi, na katerih so nameščeni operacijski sistemi Windows XP, Windows Vista, Windows 7, Windows 8 in Windows 10. Vsi šifrirani dokumenti imajo v imenu predpono WNCRY.

Zaščita pred virusom je bila najdena že marca, ko je Microsoft objavil »popravek«, vendar sodeč po izbruhu epidemije številni uporabniki, vključno s sistemskimi skrbniki, varnostne posodobitve računalnika niso upoštevali. In zgodilo se je, kar se je zgodilo - Megafon, Ruske železnice, ministrstvo za notranje zadeve in druge organizacije delajo na zdravljenju svojih okuženih računalnikov.

Glede na svetovni obseg epidemije je Microsoft 12. maja objavil zaščitno posodobitev za dolgo nepodprta izdelka – Windows XP in Windows Vista.

Ali je vaš računalnik okužen, lahko preverite s protivirusnim pripomočkom, na primer Kaspersky ali (priporočeno tudi na forumu za podporo Kaspersky).

Kako preprečiti, da bi postali žrtev izsiljevalskega virusa Wana Decryptor?

Prva stvar, ki jo morate storiti, je zapreti luknjo. Če želite to narediti, prenesite

• Okuženih je že več kot 200.000 računalnikov!

Glavne tarče napada so bile usmerjene v podjetniški sektor, sledila so mu telekomunikacijska podjetja v Španiji, na Portugalskem, Kitajskem in v Angliji.

• Največji udarec so zadali ruskim uporabnikom in podjetjem. Vključno z Megafonom, Ruskimi železnicami in, po nepotrjenih informacijah, preiskovalnim odborom in ministrstvom za notranje zadeve. O napadih na njihove sisteme sta poročala tudi Sberbank in ministrstvo za zdravje.

Za dešifriranje podatkov napadalci zahtevajo odkupnino od 300 do 600 dolarjev v bitcoinih (približno 17.000-34.000 rubljev).

Posodobitev sistema Windows 10 različica 1909

Interaktivni zemljevid okužb (KLIKNI NA ZEMLJEVID)
Odkupninsko okno
Šifrira datoteke z naslednjimi končnicami

Kljub temu, da virus cilja na podjetniški sektor, tudi povprečen uporabnik ni imun pred prodorom WannaCry in morebitno izgubo dostopa do datotek.

• Navodila za zaščito računalnika in podatkov na njem pred okužbo:

1. Namestite aplikacijo Kaspersky System Watcher, ki je opremljena z vgrajeno funkcijo za povrnitev sprememb, ki so jih povzročila dejanja šifrirnika, ki je uspel obiti varnostne ukrepe.

2. Uporabnikom protivirusne programske opreme Kaspersky Lab priporočamo, da preverijo, ali je funkcija »System Monitor« omogočena.

3. Uporabnikom protivirusnega programa ESET NOD32 za Windows 10 je na voljo preverjanje novih razpoložljivih posodobitev OS. Če ste vnaprej poskrbeli in ga imeli omogočenega, bodo nameščene vse potrebne nove posodobitve sistema Windows in vaš sistem bo popolnoma zaščiten pred tem virusom WannaCryptor in drugimi podobnimi napadi.

4. Uporabniki izdelkov ESET NOD32 imajo v programu tudi funkcijo zaznavanja še neznanih groženj. Ta metoda temelji na uporabi vedenjskih, hevrističnih tehnologij.

Če se virus obnaša kot virus, je najverjetneje virus.

Tehnologija oblačnega sistema ESET LiveGrid je od 12. maja zelo uspešno odbijala vse napade tega virusa, vse to pa se je zgodilo še preden je bila baza podpisov posodobljena.

5. Tehnologije ESET zagotavljajo varnost tudi za naprave s podedovanimi sistemi Windows XP, Windows 8 in Windows Server 2003 ( Priporočamo, da prenehate uporabljati te zastarele sisteme). Zaradi zelo visoke stopnje nevarnosti, ki se je pojavila za ta OS, se je Microsoft odločil izdati posodobitve. Prenesite jih.

6. Da zmanjšate nevarnost škode za vaš računalnik, morate nujno posodobiti svojo različico sistema Windows 10: Start - Nastavitve - Posodobitev in varnost - Preveri posodobitve (v drugih primerih: Start - Vsi programi - Windows Update - Iskanje posodobitev - Prenesite in namestite).

7. Namestite uradni Microsoftov popravek (MS17-010), ki popravi napako strežnika SMB, skozi katerega lahko prodre virus. Ta strežnik je vpleten v ta napad.

8. Prepričajte se, da se v vašem računalniku izvajajo in delujejo vsa razpoložljiva varnostna orodja.

9. Preglejte celoten sistem glede virusov. Ob razkritju zlonamernega napada, imenovanega MEM:Trojan.Win64.EquationDrug.gen, znova zaženite sistem.

In še enkrat priporočam, da preverite, ali so nameščeni popravki MS17-010.

Trenutno strokovnjaki iz Kaspersky Lab, ESET NOD32 in drugih protivirusnih izdelkov aktivno delajo na pisanju programa za dešifriranje datotek, ki bo uporabnikom okuženih osebnih računalnikov pomagal obnoviti dostop do datotek.

1. in 2. maja 2017 je prišlo do obsežnega virusnega napada na računalnike z operacijskim sistemom Windows. Samo v Rusiji je bilo okuženih približno 30.000 računalnikov. Med žrtvami niso bili samo običajni uporabniki, ampak tudi številne organizacije in vladne agencije. Po poročilih omrežja sta bila delno okužena Ustavno sodišče Ministrstva za notranje zadeve Ruske federacije in omrežje Magathon. Tudi številne druge, manj znane organizacije so bile prizadete zaradi napada WannaCry ali, kot se pogosteje imenuje - WCry. Kako je izsiljevalski virus prodrl v takšne zaščitene naprave, še ni znano. Ali je to posledica napake katerega od uporabnikov ali pa gre za splošno ranljivost omrežja ministrstva, ne poročajo. Prve informacije o RuNetu so se pojavile na spletni strani Kaspersky (v obliki), kjer je potekala aktivna razprava o novem virusu.

Kakšen virus je to?

Po prodoru v računalnik se virus razpakira, namesti lastne sistemske kode za šifriranje uporabniških podatkov in v ozadju začne šifrirati vse informacije v računalniku s svojimi kodami tipa filename.wncry. Ko vaš računalnik ujame virus, se zgodi naslednje:

• Takoj po vstopu v sistem virus začne popolnoma nadzorovati sistem in blokira zagon kakršne koli programske opreme, tudi brez namestitve,
• Protivirusni programi in pripomočki, ki ne zahtevajo namestitve, ki se zaženejo takoj po priključitvi pogona na sistem, prav tako ne dajejo nobenega rezultata in se preprosto ne zaženejo,
• Vsa vrata USB in pogoni prenehajo delovati,
• Zaslon bo blokiral pasica Wana DecryptOr 2.0, ki vas obvešča, da je vaš računalnik okužen z virusom, da so vsi podatki na njem šifrirani in da morate plačati izsiljevalsko programsko opremo.

Lastniki virusa uporabniku ponudijo, da na njihov račun nakaže znesek, ki ustreza 300 $ v bitcoinih. Obstaja tudi informacija, da če zahtevanega zneska ne plačate v 3 dneh, se znesek plačila podvoji. Če plačilo ni prejeto v enem tednu, bo virus iz računalnika izbrisal vse uporabniške podatke. Sodeč po informacijah nekaterih naših uporabnikov ta časovna shema ni enaka za vse in obstajajo naprave, na katerih je plačilni rok za izsiljevalsko programsko opremo 14 dni.

Kako se zaščititi pred virusom.

Ni potrebe za paniko, virus ni nov in se pred njim ni mogoče zaščititi. To je navaden šifrirnik, katerega analoge smo že večkrat srečali. Da se izognete okužbi z računalniškim virusom, bodite previdni pri uporabi vse programske opreme. Ne priporočamo posodabljanja programske opreme, niti vgrajene, dokler ni natančno ugotovljeno, kako virus prodre v sistem. Nagnjeni smo k prepričanju, da virus vstopi v računalnik skozi ranljivosti v kakšnem programu. In ranljivosti v programih se najpogosteje pojavijo po neuspešno razviti posodobitvi, v kateri je tako velika "luknja", ki omogoča virusom, da pridejo v sistem. Če imate izkušnje in zmožnosti, namestite kakovosten požarni zid drugega proizvajalca in za nekaj časa okrepite nadzor nad sistemom in omrežno aktivnostjo.

Pomoč žrtvam

V petek, 12. maja, se je na nas oglasil redni naročnik, oblikovalec, s prenosnikom, na katerem so bile shranjene njegove postavitve, viri in druge grafične datoteke. Njegovi računalniki so bili okuženi z virusom WannaCryptor. Izvedeni so bili številni "eksperimenti", ki so dali rezultate! Tukaj je tisto, kar nam je pomagalo:

• Računalnik smo razstavili, odstranili trdi disk s podatki,
• Pogon je povezal z iMacom,
• Z iskanjem po dekriptorjih smo našli več, ki so pomagali izluščiti nekatere podatke iz pogona D.
• Nato se je stranka odločila za ponovno namestitev sistema in izbris preostalih podatkov,
• Za vsak slučaj smo naredili sliko sistema na naši pomnilniški napravi; takoj ko se pojavi rešitev problema, bomo shranili preostale podatke.

Dragi prijatelji, če ste postali žrtev tega virusa, se obrnite na nas, poskušali vam bomo pomagati. Poskuse izvajamo brezplačno) In tukaj vam podrobno povemo, kako. Skupaj se borimo proti zlu!

12. maja je postalo znano o virusu šifriranja, ki se je širil z rekordno hitrostjo: v enem vikendu je okužil več kot 200 tisoč računalnikov v 150 državah. Po tem je bilo širjenje virusa ustavljeno, vendar se je v enem dnevu pojavilo še več različic virusa in njegovo širjenje se nadaljuje. Zato objavljamo odgovore na nekaj vprašanj, ki vam bodo na splošno povedali, kakšen virus je to, od kod je prišel in vam bodo pomagali zaščititi vaš računalnik.

Kuzmič Pavel Aleksejevič, Direktor Laboratorija za računalniško forenziko na Univerzi ITMO.

Ali virus okuži računalnike in druge naprave posameznih uporabnikov?
Da, virus lahko okuži tudi računalnike uporabnikov. Najverjetneje so zaposleni v tistih organizacijah, kjer je bila odkrita okužba, uporabljali računalnike za prejemanje pošte in »brskanje« po internetu in ker niso bili prepričani o varnosti prejetih pisem in spletnih mest, ki so jih odprli, so vanje naložili zlonamerno programsko opremo. Te metode goljufije ne moremo imenovati nove: problem tako imenovanih šifrirnih virusov je aktualen že nekaj let, cena 300 dolarjev pa se lahko šteje za precej "humano". Tako se je pred letom in pol na naš laboratorij obrnila ena organizacija, od katere so napadalci zahtevali 700 dolarjev v istih bitcoinih za dešifriranje samo ene datoteke s strankami.

Kaj lahko storite, da se izognete izpostavljenosti virusu?
Najprej bodite previdni, kje na internetu greste. Drugič, pozorno preglejte pošto in se pred odpiranjem datotek v pismih prepričajte, da ne gre za goljufivo pismo. Zelo pogosto se virusi distribuirajo v datotekah, priloženih pismom, domnevno Rostelecoma, kjer naj bi zaposleni poslal račun za plačilo. Pogosto so v imenu Sberbank začela prihajati enaka goljufiva pisma, pa tudi sodni izvršitelji. Da ne postanete žrtev napadalcev, pozorno preglejte, kam vodi povezava v pismu, pa tudi, kakšno končnico ima datoteka, priložena pismu. No, pomembno je tudi, da vsaj včasih naredite varnostne kopije pomembnih dokumentov na ločene izmenljive medije.

Ali to pomeni, da so zdaj vse baze podatkov napadenih organizacij blokirane? Ali jih bodo napadalci lahko uporabili za svoje namene? Bo to vplivalo na osebne podatke iz teh zbirk podatkov?
Mislim, da o blokadi dela seveda ni vredno govoriti: najverjetneje je to problem posameznih delovnih mest. Nekoliko zaskrbljujoče pa je dejstvo, da zaposleni na različnih oddelkih službenih računalnikov ne uporabljajo le za delo na internetu. Povsem možno je, da bi bili na ta način ogroženi zaupni podatki njihovih strank – v primeru komercialnih organizacij, pa tudi velike količine osebnih podatkov – v primeru vladnih služb. Upamo, da takšni podatki niso bili obdelani na teh računalnikih.

Bo situacija vplivala na naročnike MegaFon? Ali je zdaj nevarno uporabljati mobilni internet?
Najverjetneje ne, saj so infrastrukturni elementi omrežja zagotovo zaščiteni pred tovrstnimi napadi. Poleg tega lahko z veliko verjetnostjo rečemo, da je ta virus zasnovan za ranljivosti v operacijskem sistemu, ki ga proizvaja Microsoft, in velika večina omrežne opreme je pod nadzorom bodisi lastnega operacijskega sistema bodisi operacijskih sistemov družine Linux.

Kaj se zgodi, ko virus vstopi v sistem? Kako veste, ali je vaš računalnik okužen?
Najpogosteje se okužba in aktivna faza virusa - šifriranje podatkov - kaže v obliki znatnega zmanjšanja zmogljivosti računalnika. To je posledica dejstva, da je šifriranje izjemno zahteven proces. To lahko opazimo tudi, ko se pojavijo datoteke z neznano končnico, vendar je običajno na tej stopnji prepozno za kakršno koli ukrepanje.

Ali bo mogoče obnoviti zaklenjene podatke?
Pogosto je nemogoče obnoviti. Prej je bil ključ enak za vse okužene ljudi, ko pa je bil virus ujet in dešifriran in so standardne kode postale splošno znane (najdete jih na forumih proizvajalcev protivirusne programske opreme), so napadalci začeli šifrirati podatke z vsakič nov ključ. Mimogrede, virusi uporabljajo zapleteno različico šifre: najpogosteje gre za asimetrično šifriranje in razbijanje takšne šifre je zelo težko, izjemno dolgotrajno in potratno, kar pravzaprav postane nemogoče.

Kako dolgo se bo virus širil po internetu?
Mislim, da dokler ga avtorji ne razdelijo. In to se bo dogajalo, dokler distributerje ne bodo ujeli organi pregona ali dokler uporabniki ne bodo več odpirali e-pošte z virusi in bodo začeli biti bolj pozorni na svoja dejanja v internetu.

Grigorij Sablin, virusni analitik, strokovnjak za informacijsko varnost na Univerzi ITMO, zmagovalec mednarodnih tekmovanj v varovanju računalniških informacij (pozor: programerski besednjak!).

Napadalci izkoriščajo ranljivost v protokolu SMB MS17_010 – popravek je že na Microsoftovih strežnikih. Tisti, ki niso posodobljeni, bodo morda predmet distribucije. Lahko pa rečemo, da so ti uporabniki sami krivi - uporabljali so piratsko programsko opremo ali niso posodobili sistema Windows. Sam me zanima, kako se bo situacija razvijala: podobna zgodba je bila s hroščem MS08_67, potem ga je uporabil črv Kido, potem pa se je okužilo tudi veliko ljudi. Kaj lahko zdaj svetujemo: morate izklopiti računalnik ali posodobiti Windows. Pričakujete lahko, da se bo veliko protivirusnih podjetij potegovalo za pravico do izdaje pripomočka za dešifriranje. Če jim bo to uspelo, bo to odlična PR poteza, pa tudi priložnost za dober zaslužek. Ni dejstvo, da bo mogoče obnoviti vse zaklenjene datoteke. Ta virus lahko prodre kamor koli zaradi dejstva, da veliko računalnikov še ni posodobljenih. Mimogrede, ta podvig je bil vzet iz arhiva, ki je "pricurljal" iz ameriške Agencije za nacionalno varnost (NSA), to je primer, kako lahko obveščevalne službe ukrepajo v vsaki izredni situaciji.

Glede na tiskovno službo univerze ITMO