14 мая, YakutiaMedia. Вирус WannaCry распространяется и заражает компьютеры по всему миру. От него уже пострадали не только обычные пользователи, но и крупные компании и государственные структуры. О том, как спастись от вируса-вымогателя и уберечь свои файлы на компьютере — в инструкции от ИА YakutiaMedia.
WannaCry — софт, предназначенный для вымогания. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу систему, выводя на экран окно с угрозами. WannaCry делает и то, и другое: шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести сумму выкупа на биткоин-кошелек злоумышленника.
Суммы выкупа разнятся: хакеры требуют от $200 до $600. Если в течение двух дней жертва не оплатит выкуп, его сумма будет увеличена. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся. Судя по тому, что на одном из таких кошельков (сообщается, что их несколько) уже лежит 4 биткоина (более $6700), кто-то испугался угроз: 22 транзакции датируются 13 мая.
Вирус. Фото: скриншот, ИА YakutiaMedia
Как советует 3Dnews.ru , чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным "Лаборатории Касперского", атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.
Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить.
Необходимо пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен.
Trojan-Ransom.Win32.Gen.djd;
Trojan-Ransom.Win32.Scatter.tr;
Trojan-Ransom.Win32.Wanna.b;
Trojan-Ransom.Win32.Wanna.c;
Trojan-Ransom.Win32.Wanna.d;
Trojan-Ransom.Win32.Wanna.f;
Trojan-Ransom.Win32.Zapchast.i;
PDM:Trojan.Win32.Generic.
В свою очередь корпорация Microsoft выпустила обновления для операционных систем Windows XP, Windows 8 и Windows Server 2003 для защиты пользователей от атак программы-шифровальщика WannaCry, сообщила "Интерфаксу" представитель компании Кристина Давыдова.
"Мы знаем, что некоторые из наших клиентов работают с версиями Windows, которые больше не поддерживаются компанией. Это означает, что клиенты не получат обновление, выпущенное Microsoft в марте. Учитывая возможное влияние на пользователей и их бизнес мы приняли решение выпустить обновления для пользователей Windows XP, Windows 8 и Windows Server 2003", — говорится в официальном блоге Microsoft.
По ее словам, пользователи бесплатного антивируса компании и обновленной версии Windows защищены.
Вирус. Фото: скриншот, ИА YakutiaMedia
К слову, распространение вируса-вымогателя приостановили регистрацией доменного имени, пишет "Коммерсант" .
Специалист по информационной безопасности, который ведет Twitter-аккаунт @ MalwareTechBlog , сообщил, что распространение вируса-вымогателя WannaCrypt (Wanna Decryptor) удалось приостановить, зарегистрировав домен. Он заметил в коде вируса обращение к этому домену и решил его зарегистрировать.
Затем стало понятно, что если обращение к этому домену успешно, то заражение следует прекратить; если нет (в случае отсутствия такого зарегистрированного домена), то продолжать атаки. Однако при регистрации имени эксперт не знал, что это приведет к замедлению распространения вируса. При этом регистрация домена, упоминающегося в коде, не является универсальным средством от действий блокировщика. Чтобы возобновить заражения, хакерам достаточно изменить строчки кода с упоминанием домена .
Что делать, если вирус все-таки проник? Советы от TJ
УдалениеЕсли обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.
1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10 .
2. Можно самостоятельно удалить нежелательные приложения через "Удаление программ". Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool , Malwarebytes Anti-malware или STOPZilla .
Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы , а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery . Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.