Päivitys, joka suojaa itkemiseltä. Wanna Cry virus: suojaus, hoito, poisto, salauksen purku

Huhtikuun 12. päivänä 2017 ilmestyi tietoa WannaCry-nimisen salausviruksen nopeasta leviämisestä ympäri maailmaa, joka voidaan kääntää "Haluan itkeä". Käyttäjillä on kysyttävää Windowsin päivittämisestä WannaCry-virusta vastaan.

Virus tietokoneen näytöllä näyttää tältä:

Huono WannaCry-virus, joka salaa kaiken

Virus salaa kaikki tietokoneella olevat tiedostot ja vaatii 300 tai 600 dollarin lunnaita Bitcoin-lompakosta tietokoneen salauksen purkamiseksi. Tietokoneet 150 maassa ympäri maailmaa saivat tartunnan, joista eniten kärsii Venäjä.

Megafon, Venäjän rautatiet, sisäasiainministeriö, terveysministeriö ja muut yritykset ovat tiiviisti tämän viruksen kanssa. Uhrien joukossa on tavallisia Internetin käyttäjiä.

Lähes kaikki ovat tasa-arvoisia ennen virusta. Erona on ehkä se, että yrityksissä virus leviää koko organisaation paikallisverkossa ja saastuttaa välittömästi mahdollisimman monta tietokonetta.

WannaCry-virus salaa tiedostot Windows-tietokoneissa. Microsoft julkaisi MS17-010-päivitykset Windows XP:n, Vistan, 7, 8, 10:n eri versioille maaliskuussa 2017.

Osoittautuu, että ne, joilla on Windows automaattisesti päivitetty, eivät ole viruksen vaarassa, koska he saivat päivityksen ajoissa ja pystyivät välttämään sen. En väitä, että näin todella olisi.

Riisi. 3. Sanoma päivitystä KB4012212 asennettaessa

KB4012212-päivitys vaati kannettavan tietokoneen uudelleenkäynnistyksen asennuksen jälkeen, mistä en oikein pitänyt, koska ei tiedetä, miten tämä voisi päättyä, mutta minne käyttäjän pitäisi mennä? Uudelleenkäynnistys sujui kuitenkin hyvin. Tämä tarkoittaa, että elämme rauhassa seuraavaan virushyökkäykseen asti, ja valitettavasti ei ole epäilystäkään, että tällaisia ​​hyökkäyksiä tulee tapahtumaan.

Jotkut virukset voittaa, toiset ilmestyvät uudelleen. Tämä taistelu on ilmeisesti loputon.

Video "Haluan itkeä": ransomware-virus tartutti 75 tuhatta järjestelmää 99 maassa

Saat viimeisimmät tietokonelukutaitoartikkelit suoraan postilaatikkoosi.
Jo enemmän 3000 tilaajaa

.
  1. Toukokuu on täällä, tapaa WannaCry.
  2. Wanna on ransomware-viruksen nimi, joka aloitti toimintansa, oletetaan, että 12. toukokuuta 2017 tartuttaen käyttäjien ja yritysten tietokoneita 90 maassa. Microsoft on virallisesti julkaissut korjaustiedostoja vanhemmille käyttöjärjestelmille, joita ei enää tueta ja jotka ovat vanhentuneet. Annan täydellisen luettelon ja kaikki linkit artikkelin lopussa.
    3. Miten Wanna ilmenee?
  3. Kuten kaikki kiristysohjelmavirukset, sitä on vaikea havaita salausprosessin aikana, ellet vahingossa näe tiedostojen muuttuvan ja muuttuvan eri tunnisteiksi. Esimerkiksi tämän viruksen kanssa salatut tiedostot näyttävät tältä: tiedostonimi.png.WNCRY
  4. Alla on kartta siitä, miten maat saivat viruksen tartunnan ensimmäisten tuntien aikana tartunnan ja leviämisen aikana, kartta Sumantecilta.
  5. Seuraavaksi, kun virus ilmaantuu sen jälkeen, kun se on salannut tiedostot, käyttäjälle näytetään viesti ja hän voi valita sopivan kielen. Joka ilmoittaa, että tiedostosi ovat saastuneet ja jatka maksutoimintoihin, sanotaanpa näin.
  6. Toinen ikkuna näyttää kuinka paljon ja miten sinun tulee maksaa, siirtää 300 bitcoinia. Ja myös ajastin laskemista varten.
  7. Työpöydän tausta ja muut taustakuvat näyttävät viestin:
  8. Salatuilla tiedostoilla on kaksoistunniste, esimerkiksi: tiedostonimi.doc.WNCRY. Alla on miltä se näyttää:
  9. Jokaisessa kansiossa on myös suoritettava tiedosto @ salauksen purkamista varten lunnaiden jälkeen (mahdollinen, mutta epätodennäköinen), sekä tekstidokumentti @, jossa on jotain luettavaa (myös mahdollista, mutta epätodennäköistä).
    10. Virus salaa tiedostot seuraavilla tunnisteilla:
  10. Haluaisin huomauttaa, että WannaCryn salaamien laajennusten joukossa ei ole 1C-laajennusta, jota käytetään Venäjällä.
  11. Pyydän myös kiinnittämään huomiota tärkeimpään asiaan tiedostojesi palauttamisessa tartunnan jälkeen. Se on mahdollista, jos sinulla on käytössä järjestelmän suojaus, eli äänenvoimakkuuden varjokopiointi, ja UAC-käyttäjätilien valvontajärjestelmä on käynnissä, ja se todennäköisesti toimii, jos et ole poistanut sitä käytöstä. Sitten virus ehdottaa järjestelmän suojauksen poistamista käytöstä, jotta salattuja tiedostoja ei voida palauttaa, eli niitä, jotka on poistettu salauksen jälkeen. Tässä tapauksessa ei tietenkään voi olla eri mieltä sulkemisesta. Se näyttää jotakuinkin tältä:
    12. Bitcoin-lompakoiden huijarit.
  12. Mielenkiintoisinta tässä on, kuinka huijareiden lompakon määrä kasvaa. Bitcoin-lompakko:
  17. Tarkkaile kirjautumalla sisään vähintään kerran päivässä kuinka paljon huijareiden voitot ovat kasvaneet ja yllätyt, usko minua! Tämä on tavallinen Wallet Bitcoin -palvelu, johon kuka tahansa voi rekisteröidä lompakon, ei ole mitään hätää, jos katsot lompakon täydennystilastoja.
  18. WannaCry 1.0 jaettiin roskapostin ja verkkosivustojen avulla. Versio 2.0 on identtinen ensimmäisen version kanssa, mutta siihen lisättiin mato, joka levisi itsenäisesti pääsemällä uhrin tietokoneille protokollan kautta.
    19. Microsoft Corporation taistelussa Wannaa vastaan:
  19. Microsoft tarjoaa päivityspakettien asentamista vanhempien käyttöjärjestelmien käyttäjille:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Siirry viralliseen osoitteeseen blogs.technet.microsoft
    Mitä Kaspersky sanoo?
  20. Virallinen Kaspersky-blogi kuvaa prosessia yksityiskohtaisemmin, ja siellä on useita lisäyksiä, jotka voit selvittää, vaikkakin englanniksi.
    21. Securelist.
  21. Täydennetty 15. toukokuuta 2017 päivätyllä kaspersky-tukiartikkelilla:
    22. .
  22. Voit myös tarkastella interaktiivista karttaa kyberuhkista ja selvittää viruksen leviämisen reaaliajassa:
    23. Intelin haittaohjelmakartta WannaCry 2.0 -virukselle:
  23. Toinen kartta, mutta nimenomaan WannaCry2.0-virukseen perustuva, viruksen leviäminen reaaliajassa (jos kartta ei toimi siirron jälkeen, päivitä sivu):
    24. Video Comodo Firewall 10 vs WannaCry Ransomware suojaustekniikasta:
    virallinen sivusto.
    596 WannaCry-versiota
  24. Riippumaton laboratorio löysi 596 näytettä WannaCryptistä. Luettelo SHA256-tiivisteistä:
    25. Kirjailijalta:
  25. Lisään omasta puolestani, koska käytän suojausta Comodosta on 10 ja lisäksi, mutta paras virustorjunta olet sinä itse. Kuten sanotaan, Jumala suojelee parasta, ja minulla on sellainen suoja, koska työskennellessäni joudun suorittamaan erilaisia ​​tehtäviä, joissa virushyökkäyksille on tilaa vuotaa, sanotaanko niitä niin.
  26. Poista SMB1-protokolla käytöstä jonkin aikaa, kunnes asennat tietoturvapäivitykset tai jos et tarvitse sitä ollenkaan komentorivin avulla, suorita cmd järjestelmänvalvojana ja poista protokolla käytöstä dism-komennolla:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Sekä muita tapoja ottaa käyttöön ja poistaa käytöstä SMBv1,2,3-protokolla Microsoftin virallisella verkkosivustolla.
  28. Graafisessa käyttöliittymässä voit poistaa protokollan käytöstä seuraavasti: Ohjauspaneeli> Lisää tai poista sovellus (Poista tai muuta ohjelmaa)> Ota Windows-komponentit käyttöön tai poista se käytöstä> ja katso alla olevaa kuvaa.

Toukokuun 12. päivänä noin kello 13.00 Wana Decryptor -virus alkoi levitä. Lähes parissa tunnissa kymmenet tuhannet tietokoneet ympäri maailmaa saivat tartunnan. Tähän mennessä yli 45 000 tartunnan saanutta tietokonetta on vahvistettu.

Yli 40 000 hakkerointia 74 maassa, ja Internetin käyttäjät ympäri maailmaa olivat todistamassa historian suurinta kyberhyökkäystä. Uhrien luettelossa ei ole vain tavallisia ihmisiä, vaan myös pankkien, teleyritysten ja jopa lainvalvontaviranomaisten palvelimia.

Sekä tavallisten käyttäjien tietokoneet että työtietokoneet eri organisaatioissa, mukaan lukien Venäjän sisäministeriössä, olivat saaneet Wanna Cry ransomware -viruksen. Valitettavasti tällä hetkellä ei ole mahdollista purkaa WNCRY-tiedostoja, mutta voit yrittää palauttaa salattuja tiedostoja käyttämällä ohjelmia, kuten ShadowExplorer ja PhotoRec.

Microsoftin viralliset korjaustiedostot suojaamaan Wanna Cry -virukselta:

  • Windows 7 32bit/x64
  • Windows 10 32bit/x64
  • Windows XP 32 bit/x64 - ei korjaustiedostoa WCry:ltä.

Kuinka suojautua Wanna Cry -virukselta

Voit suojautua Wanna Cry -virukselta lataamalla korjaustiedoston Windows-versiollesi.

Kuinka Wanna Cry leviää

Wanna Cry on jaettu:

  • tiedostojen kautta
  • sähköpostiviestejä.

Venäjän tiedotusvälineiden mukaan sisäministeriön osastojen työ on häiriintynyt useilla Venäjän alueilla moniin tietokoneisiin tartunnan saaneen kiristysohjelman takia, joka uhkaa tuhota kaiken datan. Lisäksi tietoliikenneoperaattori Megafonia vastaan ​​hyökättiin.

Puhumme WCry ransomware -troijalaisesta (WannaCry tai WannaCryptor). Hän salaa tietokoneella olevat tiedot ja vaatii 300 dollarin tai 600 dollarin Bitcoinin lunnaita salauksen purkamisesta.
Tavalliset käyttäjät ilmoittavat tartunnoista myös foorumeilla ja sosiaalisissa verkostoissa:

WannaCry-salausepidemia: mitä tehdä tartunnan välttämiseksi. Vaiheittainen opas

Toukokuun 12. päivän illalla löydettiin laajamittainen WannaCryptor (WannaCry) lunnasohjelmahyökkäys, joka salaa kaikki Windows-käyttöisten tietokoneiden ja kannettavien tietokoneiden tiedot. Ohjelma vaatii 300 dollaria bitcoineina (noin 17 000 ruplaa) lunnaiksi salauksen purkamisesta.

Suurin isku kohdistui venäläisiin käyttäjiin ja yrityksiin. Tällä hetkellä WannaCry onnistui saastuttamaan noin 57 000 tietokonetta, mukaan lukien sisäministeriön, Venäjän rautateiden ja Megafonin yritysverkot. Myös Sberbank ja terveysministeriö ilmoittivat hyökkäyksistä järjestelmiinsä.

Kerromme sinulle, mitä sinun on tehtävä juuri nyt tartunnan välttämiseksi.

1. Salaaja hyödyntää maaliskuussa 2017 päivättyä Microsoftin haavoittuvuutta. Uhan minimoimiseksi sinun on kiireesti päivitettävä Windows-versiosi:

Käynnistä - Kaikki ohjelmat - Windows Update - Etsi päivityksiä - Lataa ja asenna

2. Vaikka järjestelmää ei päivitetty ja WannaCry pääsisi tietokoneeseen, sekä yritys- että kotiratkaisut ESET NOD32 tunnistavat ja estävät kaikki sen muutokset.

5. Vielä tuntemattomien uhkien havaitsemiseksi tuotteemme käyttävät käyttäytymis- ja heuristisia tekniikoita. Jos virus käyttäytyy kuin virus, se on todennäköisesti virus. Näin ollen ESET LiveGrid -pilvijärjestelmä torjui onnistuneesti hyökkäyksen 12. toukokuuta alkaen, jopa ennen allekirjoitustietokantojen päivitystä.

Mikä on oikea nimi Wana Decryptor -virukselle, WanaCrypt0r, Wanna Cry tai Wana Decrypt0r?

Viruksen ensimmäisen löydön jälkeen verkkoon on ilmestynyt monia erilaisia ​​viestejä tästä kiristysohjelmaviruksesta ja sitä kutsutaan usein eri nimillä. Tämä tapahtui useista syistä. Ennen kuin itse Wana Decrypt0r -virus ilmestyi, oli sen ensimmäinen versio Haluatko purkaa salauksen0r, suurin ero on jakelumenetelmä. Tämä ensimmäinen variantti ei ollut yhtä laajalti tunnettu kuin sen nuorempi veljensä, mutta tästä johtuen, joissakin uutisraporteissa uutta ransomware-virusta kutsutaan vanhemman veljensä nimellä, nimittäin Wanna Cry, Wanna Decryptor.

Mutta silti päänimi on Wana Decrypt0r, vaikka useimmat käyttäjät kirjoittavat numeron "0" sijaan kirjaimen "o", joka johtaa meidät nimeen Wana Decryptor tai WanaDecryptor.

Ja sukunimi, jolla käyttäjät usein kutsuvat tätä ransomware-virusta, on WNCRY virus, eli laajennuksella, joka lisätään salattujen tiedostojen nimiin.

Minimoidakseen Wanna Cru -viruksen pääsemisen tietokoneellesi Kaspersky Labin asiantuntijat neuvovat asentamaan kaikki mahdolliset päivitykset nykyiseen Windows-versioon. Tosiasia on, että haittaohjelma saastuttaa vain ne tietokoneet, jotka käyttävät tätä ohjelmistoa.

Wanna Cry -virus: Kuinka se leviää

Mainitsimme aiemmin tämän virusten levitysmenetelmän artikkelissa, jossa kerrottiin turvallisesta käytöstä Internetissä, joten se ei ole mitään uutta.

Wanna Cry jaetaan seuraavasti: Kirje lähetetään käyttäjän postilaatikkoon "vaarattoman" liitteenä - se voi olla kuva, video, kappale, mutta näiden muotojen vakiotunnisteen sijaan liitteellä on suoritettava tiedostopääte - exe. Kun tällainen tiedosto avataan ja käynnistetään, järjestelmä "tarttuu" ja haavoittuvuuden kautta OS Windowsiin ladataan suoraan virus, joka salaa käyttäjätiedot, therussiantimes.com raportoi.

Wanna Cry virus: kuvaus viruksesta

Wanna Cry (tavallinen kansa on jo antanut sille lempinimen Wona's Edge) kuuluu kiristysohjelmavirusten (salausohjelmien) luokkaan, joka PC:lle päässyt salaa käyttäjän tiedostot salausalgoritmilla tehden myöhemmin näiden tiedostojen lukemisen mahdottomaksi.
Tällä hetkellä seuraavien suosittujen tiedostopäätteiden tiedetään olevan Wanna Cry -salauksen alaisia:

Suositut Microsoft Office -tiedostot (.xlsx, raportit therussiantimes.com.xls, .docx, .doc).
Arkisto- ja mediatiedostot (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry on WanaCrypt0r 2.0 -niminen ohjelma, joka hyökkää yksinomaan Windows-käyttöjärjestelmää käyttäviin tietokoneisiin. Ohjelma hyödyntää järjestelmässä olevaa "reikää" - Microsoft Security Bulletin MS17-010, jonka olemassaolosta ei aiemmin tiedetty. Salauksen purkamiseen ohjelma vaatii 300–600 dollarin "lunnasmaksun". Muuten, tällä hetkellä The Guardianin mukaan yli 42 tuhatta dollaria on jo siirretty hakkereiden tileille.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä