Обновить виндовс xp от вируса wanna cry. Вирус Wanna Cry. Защищаем компьютер от вымогателя

Вирус-шифровальщик WannaCry , или Wana Decryptor , поразил десятки тысяч компьютеров по всему миру. Пока те, кто попал под атаку, ждут решения проблемы, еще не пострадавшим пользователям стоит использовать все возможные рубежи защиты. Один из способов избавить себя от вирусного заражения и защититься от распространения от WannaCry - это закрытие портов 135 и 445, через которые в компьютер проникает не только WannaCry, но и большинство троянов, бэкдоров и других вредоносных программ. Средств для прикрытия этих лазеек существует несколько.

Способ 1. Защита от WannaCry - использование Firewall

Firewall, также известный как брандмауэр, в классическом понимании - это стена, разделяющая секции построек для защиты их от пожара. Компьютерный брандмауэр работает похожим образом - он защищает компьютер, соединенный с интернетом, от лишней информации, фильтруя поступающие пакеты. Большинство firewall-программ можно тонко настроить, в т.ч. и закрыть определенные порты.

Видов брандмауэров существует множество. Самый простой firewall - это стандартный инструмент Windows, который обеспечивает базовую защиту и без которого ПК не продержался бы в «чистом» состоянии и 2 минуты. Сторонние брандмауэры - например, встроенные в антивирусные программы - работают гораздо эффективнее.

Преимущество брандмауэров в том, что они блокируют все подключения, которые не соответствуют указанному набору правил, т.е. работают по принципу «запрещено все, что не разрешено». Из-за этого при использовании firewall для защиты от вируса WannaCry скорее придется открывать нужные порты, чем закрывать ненужные. Убедиться в том, что брандмауэр Windows 10 работает, можно, открыв настройки программы через поиск и зайдя в дополнительные параметры. Если порты по умолчанию открыты, закрыть 135 и 445 можно, создав соответствующие правила через настройки брандмауэра в разделе входящих подключений.

Однако в некоторых случаях брандмауэром пользоваться невозможно. Без него обеспечить защиту от зловреда WannaCry будет сложнее, но закрыть самые очевидные дырки получится без особых затруднений.

Действенный способ защиты от Wana Descrypt0r проиллюстрирован на видео!

Способ 2. Блокируем распространение вируса с Windows Worms Doors Cleaner

Windows Worms Doors Cleaner - эта простая программа весит всего 50 КБ и позволяет закрыть порты 135, 445 и некоторые другие в один клик от вируса WannaCry.

Скачать Windows Worms Doors Cleaner можно по ссылке: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

Главное окно программы содержит перечень портов (135–139, 445, 5000) и краткую информацию о них - для каких служб используются, открыты они или закрыты. Рядом с каждым портом имеется ссылка на официальные положения службы безопасности Microsoft.

1. Чтобы закрыть порты с помощью Windows Worms Doors Cleaner от WannaCry, нужно нажать на кнопку Disable.
2. После этого красные кресты заменятся зелеными галочками, и появятся надписи, говорящие о том, что порты успешно заблокированы.
3. После этого программу нужно закрыть, а компьютер - перезагрузить.

Способ 3. Закрытие портов через отключение системных служб

Логично, что порты нужны не только вирусам, таким как WannaCry - в нормальных условиях ими пользуются системные службы, которые большинству пользователей не нужны и легко отключаются. После этого портам незачем будет открываться, и вредоносные программы не смогут проникнуть в компьютер.

Закрытие порта 135

Порт 135 используется службой DCOM (Distributed COM) , которая нужна для связи объектов на разных машинах в локальной сети. Технология практически не используется в современных системах, поэтому службу можно безопасно отключить. Сделать это можно двумя способами - с помощью специальной утилиты или через реестр.

При помощи утилиты служба отключается так:

В системах Windows Server 2003 и старше нужно выполнить ряд дополнительных операций, но, поскольку вирус WannaCry опасен только для современных версий ОС, затрагивать этот момент нет смысла.

Через реестр порт от вирусной программы WannaCry закрывается следующим образом:

1. 1. Запускается редактор реестра (regedit в окне «Выполнить»).
2. 2. Ищется ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
3. 3. Параметр EnableDCOM меняется с Y на N.
4. 4. Компьютер перезагружается.

Редактировать реестр можно только из-под учетной записи администратора.

Закрытие порта 445

Порт 445 используется службой NetBT - сетевым протоколом, который позволяет старым программам, полагающимся на NetBIOS API, работать в современных сетях TCP/IP . Если такого древнего ПО на компьютере нет, порт можно смело блокировать - это закроет парадный вход для распространения вируса WannaCry. Сделать это можно через настройки сетевого подключения или редактор реестра.

Первый способ:

1. 1. Открываются свойства используемого подключения.
2. 2. Открываются свойства TCP/IPv4.
3. 3. Нажимается кнопка «Дополнительно…»
4. 4. На вкладке WINS ставится флажок у пункта «Отключить NetBIOS через TCP/IP».

Сделать это нужно для всех сетевых подключений. Дополнительно стоит отключить службу доступа к файлам и принтерам, если она не используются - известны случаи, когда WannaCry поражал компьютер через нее.

Второй способ:

1. 1. Открывается редактор реестра.
2. 2. Ищутся параметры NetBT в разделе ControlSet001 системных записей.
3. 3. Удаляется параметр TransportBindName.

То же самое следует сделать в следующих разделах:

• ControlSet002;
• CurrentControlSet.

После завершения редактирования компьютер перезагружается. Следует учитывать, что при отключении NetBT перестанет работать служба DHCP.

Заключение

Таким образом, чтобы защититься от распространения вируса WannaCry, нужно убедиться, что уязвимые порты 135 и 445 закрыты (для этого можно использовать различные сервисы) или включить брандмауэр. Кроме того, необходимо установить все обновления системы Windows. Чтобы избежать атак в будущем, рекомендуется всегда пользоваться свежей версией антивирусного ПО.

1. Пришел Май, Познакомьтесь с WannaCry.
2. Wanna название вируса шифровальщика который начал свою деятельность скажем так 12 мая 2017 года заразив в 90 странах компьютеры пользователей и компаний. Microsoft официально выпустила патчи для старых операционных систем которые более не поддерживаются и являются устаревшими. Полный список и все ссылки приведу в конце статьи.

Как проявляет себя Wanna ?

3. Как и все вирусы шифровальщики в процессе шифрования трудно заметить если вы случайно сами не увидели что файлы меняются и становятся с другим расширением. К примеру с этим вирусом зашифрованные файлы будут выглядеть так: название файла.png.WNCRY
4. Ниже предоставлена карта заражения вирусом стран в первые часы заражения и распространения,карта от компании Sumantec.
5. Далее как проявляет вирус после того как зашифровал файлы, пользователю будет показано сообщение и можно выбрать подходящий язык. Которое сообщает что ваши файлы заражены и перейдите к действиям об оплате скажем так.
6. Второе окно показывает сколько и как вы должны заплатить, перевести 300 биткойнов. А так же таймер для обратного отсчета.
7. Фон рабочего стола и другие фоновые картинки показывают сообщение:
8. Зашифрованные файлы имеют двойное расширение, например: название файла.doc.WNCRY. Ниже представленно как это выглядит:
9. Также в каждой папке есть исполняемый файл @ для дешифровки после выкупа(возможно но врятли), а также текстовый документ @ в котором есть что почитать пользователю(тоже возможно но врятли).

Вирус шифрует файлы со следующими расширениями:

10. Хочу заметить что среди расширений которые шифрует WannaCry нет расширения 1С которое используется в России.
11. Так же прошу обратить внимание на самое главное в востановлении ваших файлов после заражения. Возможно если у вас включена защита системы а именно теневое копирование тома и работает uac система контроля учетных записей а она работает скорей всего если вы не отключали. То вирус предложит отключить защиту системы для не возможности восстановления зашифрованных файлов а именно удаленных после шифрования. Конечно в таком случае не в коем роде не соглашаться с отключением. Выглядит примерно так:

Bitcoin кошельки мошенников.

12. Здесь самое интересное, как растет сумма на кошельке мошенников. Bitcoin wallet:
17. понаблюдайте заходя хотя бы раз в день на сколько выросла прибыль мошенников и вы удивитесь поверьте! Это обычный Wallet Bitcoin сервис в котором любой желающий может за регистрировать себе кошелек, нет не чего страшного если вы посмотрите статистику пополнения кошелька.
18. WannaCry 1.0 распространялся при помощи спама и сайтов. Версия 2.0 идентична первой версии но в нее добавили червя который распространялса самостоятельно попадая на компьютеры жертвы через протокол.

Корпорация Microsoft на борьбе с Wanna:

19. Microsoft предлагает установить пакеты обновлений для пользователей старых операционных систем:

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Перейти на официальный blogs.technet.microsoft

Что говорит Kaspersky ?

20. На официальном блоге Kaspersky более подробней расписан процесс и есть несколько дополнений которые вы можете узнать, правда на английском языке.

Securelist .

21. Дополнилось статьей support kaspersky от 15 май 2017г:

.

22. Так же вы можете просмотреть интерактивную карту кибер угроз и узнать распространение вируса в реальном времени:

Intel malwaretech карта по вирусу WannaCry 2.0:

23. Еще карта но именно по вирусу WannaCry2.0 распространение вируса в реальном времени(если карта после перехода не заработала обновите страницу):

Видео Comodo Firewall 10 vs WannaCry Ransomware о технологии защиты:

официальный сайт.

596 вариантов WannaCry

24. Независимая лаборатория обнаружила 596 образцов WannaCrypt. Список хэшей SHA256:

От автора:

25. От себя добавлю так как использую защиту от Comodo is 10 и в довесок а также но лучший антивирус это вы сами. Как говориться береженого бог бережет а защита у меня такая потому что по мере работы мне приходится выполнять различные задачи в которых есть место просочиться вирусным атакам назовем их так.
26. Отключите протокол SMB1 на время пока не установите обновления защиты или если он вам не нужен совсем с помощью командной строки, запускаете cmd от имени админстратора системы и с помощью dism отключаем протокол, команда:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. А также другие методы включения и отключения протокола SMBv1,2,3 на официальном сайте Microsoft.
28. В графическом интерфейсе отключения протокола можно сделать так: Панель управления> Установка и удаление программ(Удаление или изменение программы)> Включение или отключение компонентов Windows> далее картинка ниже.

WannaCry - специальная программа, которая блокирует все данные в системе и оставляет пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor - инструмент для разблокировки данных.

Большинство компаний, занимающихся компьютерной безопасностью, имеют инструменты дешифровки выкупа, которые могут обходить программное обеспечение. Для обычных смертных способ «лечения» пока неизвестен.

WannaCry Decryptor (или WinCry, WannaCry, .wcry, WCrypt , WNCRY, WanaCrypt0r 2.0), уже называют «вирусом 2017 года». И совсем не безосновательно. Только за первые 24 часа с момента начала своего распространения - данный шифровальщик поразил больше 45000 компьютеров. Некоторые же исследователи считают что на данный момент (15 мая) заражено уже больше миллиона компьютеров и серверов. Напомним, что вирус начал распространятся 12 мая. Первыми пострадали пользователи из России, Украины, Индии и Тайваня. На данный же момент вирус с большой скоростью распространяется в Европе, США и Китае.

Была зашифрована информация на компьютерах и серверах государственных учреждений (в частности МВД России), госпиталей, транснациональных корпораций, университетов и школ.

Wana Decryptor (Wanna Cry или Wana Decrypt0r) парализовал работу сотен компаний и госучреждений во всем мире

По сути WinCry (WannaCry) - это эксплоит семейства EternalBlue, который использует довольно-таки старую уязвимость операционной системы Windows (Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10) и в «тихом» режиме загружает себя в систему. После чего с помощью стойких к расшифровке алгоритмов шифрует данные пользователей (документы, фото, видео, электронные таблицы, базы данных) и требует выкуп за расшифровку данных. Схема не нова, мы постоянно пишем о новых разновидностях шифровальщиков файлов - но вот метод распространения новый. И это привело к эпидемии.

Как работает вирус

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Кстати, данные пути не отслеживаются современными антивирусными программами, что и сделало заражение настолько массовым. И это огромный булыжник в огород разработчиков антивирусного ПО. Как можно было такое допустить? Вы за что деньги берете?

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем, WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry . Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткоинах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров.

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi , позволяющую расшифровать файлы без выкупа.

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch, - программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.) русск. , 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично заблокировать распространение данной модификации вредоносной программы. 14 мая был зарегистрирован и второй домен. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предпологать, происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был поврежден механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный вред.

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010 . Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 - начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).

Распространение вируса WannaCry

Вирус может распространятся различными способами:

• Через единую компьютерную сеть;
• Через почту;
• Через браузер.

Лично, мне не совсем понятно, почему сетевое соединение не сканируется антивирусом. Такой же способ заражение, как через посещение сайта или браузер – доказывает беспомощность разработчиков и то, что запрашиваемые средства на лицензионное ПО для защиты ПК ничем не оправданы.

Симптомы заражения и лечение вируса

После успешной установки на ПК пользователя WannaCry пытается распространяться по локальной сети на другие ПК, как червь. Зашифрованные файлы получают системное расширение.WCRY и становятся полностью нечитаемыми и расшифровать их самостоятельно не предоставляется возможным. После полного шифрования Wcry меняет обои рабочего стола и оставляет «инструкции» по расшифровке файлов в папках с зашифрованными данными.

Поначалу хакеры вымогали $300 за ключи расшифровки, но потом подняли эту цифру до $600.

Как предостеречь заражение вашего ПК шифровальщиком WannaCry Decryptor?

Скачать обновление операционной системы с сайта Microsoft.

Что делать ес ли Ваш ПК заражен?

Используйте инструкции ниже для того чтобы попытаться восстановить хотя-бы часть информации на зараженном ПК. Обновите антивирус и установите патч операционной системы . Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп - никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Удалить шифровальщик WannaCry с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

1. Загрузить программу для удаления вируса WannaCry . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика WannaCry .
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция «Восстановление системы» должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя WannaCry

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Расшифровка

А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((

Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет:

“Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.”

Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена

Создатели вируса-вымогателя WannaCry, от которого пострадали компьютеры в более чем 70 странах, выпустили его новую версию. В ней отсутствует код для обращения к бессмысленному домену, с помощью которого удалось предотвратить распространение оригинального вируса, пишет Motherboard. Издание получило подтверждение о появлении новой версии вируса от двух специалистов, которые изучали новые случаи заражения компьютеров. Один из них - Костин Райю (Costin Raiu), руководитель международной исследовательской команды «Лаборатории Касперского».

Специалисты не уточнили, появились ли в WannaCry какие-либо другие изменения.

​13 мая распространение вируса смогли приостановить специалист компании Proofpoint Дэриен Хасс и автор блога MalwareTech - они обнаружили, что вирус обращается к бессмысленному доменному имени, и зарегистрировали этот адрес. После этого они обнаружили, что распространение WannaCry приостановилось - однако специалисты заметили, что создатели вируса, скорее всего, скоро выпустят обновлённую версию программы.

Компьютерный вирус под оригинальным названием Wanna Crypt (хочу зашифровать) и подходящим сокращенным именем WannaCry (хочу плакать) заблокировал десятки тысяч компьютеров по всему миру 12 мая 2017 года. Уже на следующий день эпидемия была остановлена. Однако разработчики вируса внесли изменения в код, и миллионы компьютеров с операционной системой Windows снова оказались под ударом.

Вирус шифрует файлы и требует выкуп в размере $300. Жертвы уже перечислили десятки тысяч долларов, но сведений о расшифровке пока нет. В любом случае, лучше предотвратить заражение и возможные последствия, чем пытаться спасти информацию после атаки.

1. Установите обновления Windows

Скачайте по адресу https://technet.microsoft.com/library/security/MS17-010 и установите «заплатку» для защиты от WannaCry. В компании Microsoft считают это настолько важным, что выпустили версию даже для Windows XP (поддержка которой была прекращена в 2014 году).

Кроме того, уязвимость, на которой основаны атаки WannaCry, была закрыта в регулярном обновлении Windows еще в марте. Обновите Windows.

2. Сделайте резервные копии важных файлов

Сохраните свои рабочие и личные файлы. Можно скопировать их на внешний жесткий диск или флешку, закачать в «облако», выложить на FTP-сервер, отправить почтой самому себе, коллеге или другу. Только не запишите поверх недавно сохраненных «чистых» файлов их зашифрованные версии. Используйте другие носители. Пусть лучше будет две копии, чем ни одной.

3. Закройте порты 139 и 445

Звучит как фраза из фильма про хакеров, но это не так сложно. И очень полезно, потому что обезопасит ваш компьютер от WannaCry. Нужно сделать следующее:

• Открыть Брандмауэр Windows (Firewall) – например, через «Сетевые подключения»;
• Выбрать пункт «Дополнительные параметры» (Advanced Settings);
• Найти «Правила для входящих подключений» (Inbound rules) – посередине экрана, чуть пролистав вниз;
• Дальше, начиная с главного меню: «Действие / Создать правило... / Для порта / Определенные локальные порты – 139 / Блокировать подключение» (Action / New rule... / Port / Specified local ports – 139 / Block the connection);
• аналогично для порта 445.

4. Найдите сетевого администратора или «погуглите» сами

Главное уже сделано, вы в относительной безопасности. Нужно еще заблокировать SMB v1, инспектировать настройки VPN, проверить систему на вирусы. В принципе все это реально сделать самостоятельно. Но будет проще и надежнее найти специалистов.

5. Если не можете выполнить хотя бы пп.1-2 – выключите компьютер

Если по каким-то причинам вы не смогли установить «заплатку» от Microsoft, обновить Windows и сохранить важные файлы на внешних носителях – лучше выключить компьютер. Просто обесточить, чтобы у вируса не было шансов разрушить ваши цифровые активы. В крайнем случае, хотя бы отключите доступ к Интернету.

Дождитесь прихода специалистов, выпуска дешифратора, специальных версий антивирусов «в один клик». Это не займет много времени, а сэкономит годы труда, затраченные на создание всех тех файлов, которые сейчас под угрозой.