• Infikováno již bylo více než 200 000 počítačů!

Hlavní cíle útoku mířily na firemní sektor, následovaly telekomunikační společnosti ve Španělsku, Portugalsku, Číně a Anglii.

• Největší ránu zasadili ruští uživatelé a společnosti. Včetně Megafonu, ruských drah a podle nepotvrzených informací i vyšetřovacího výboru a ministerstva vnitra. Útoky na jejich systémy hlásily i Sberbank a ministerstvo zdravotnictví.

Za dešifrování dat útočníci požadují výkupné ve výši 300 až 600 dolarů v bitcoinech (asi 17 000-34 000 rublů).

Aktualizace systému Windows 10 verze 1909

Interaktivní mapa infekce (KLIKNĚTE NA MAPKU)
Výkupné okno
Šifruje soubory s následujícími příponami

Navzdory zacílení viru na firemní sektor není ani průměrný uživatel imunní vůči pronikání WannaCry a možné ztrátě přístupu k souborům.

• Pokyny pro ochranu počítače a dat na něm před infekcí:

1. Nainstalujte aplikaci Kaspersky System Watcher, která je vybavena vestavěnou funkcí pro vrácení změn způsobených činnostmi šifrovače, kterému se podařilo obejít bezpečnostní opatření.

2. Uživatelům antivirového softwaru od společnosti Kaspersky Lab se doporučuje zkontrolovat, zda je povolena funkce „Monitor systému“.

3. Byli zavedeni uživatelé antivirového programu ESET NOD32 pro Windows 10, aby zkontrolovali nové dostupné aktualizace OS. Pokud jste se předem postarali a měli to povoleno, nainstalují se všechny potřebné nové aktualizace Windows a váš systém bude zcela chráněn před tímto virem WannaCryptor a dalšími podobnými útoky.

4. Uživatelé produktů ESET NOD32 mají v programu také funkci detekce dosud neznámých hrozeb. Tato metoda je založena na použití behaviorálních, heuristických technologií.

Pokud se virus chová jako virus, je to s největší pravděpodobností virus.

Technologie cloudového systému ESET LiveGrid od 12. května velmi úspěšně odrazila všechny útoky tohoto viru a to vše se dělo ještě před aktualizací databáze signatur.

5. Technologie ESET poskytují zabezpečení také pro zařízení se staršími systémy Windows XP, Windows 8 a Windows Server 2003 ( Doporučujeme, abyste přestali používat tyto zastaralé systémy). Vzhledem k velmi vysoké úrovni hrozeb, které se pro tyto OS objevují, se Microsoft rozhodl vydat aktualizace. Stáhněte si je.

6. Chcete-li minimalizovat hrozbu poškození vašeho počítače, musíte urychleně aktualizovat svou verzi systému Windows 10: Start - Nastavení - Aktualizace a zabezpečení - Vyhledat aktualizace (v ostatních případech: Start - Všechny programy - Windows Update - Vyhledat aktualizace - Stáhnout a nainstalovat).

7. Nainstalujte oficiální opravu (MS17-010) od společnosti Microsoft, která opravuje chybu serveru SMB, přes kterou může virus proniknout. Tento server je zapojen do tohoto útoku.

8. Ujistěte se, že všechny dostupné nástroje zabezpečení jsou na vašem počítači spuštěné a funkční.

9. Prohledejte celý váš systém na výskyt virů. Při vystavení škodlivému útoku tzv MEM:Trojan.Win64.EquationDrug.gen, restartujte systém.

A ještě jednou doporučuji zkontrolovat, zda jsou nainstalovány opravy MS17-010.

V současné době specialisté z Kaspersky Lab, ESET NOD32 a dalších antivirových produktů aktivně pracují na sepsání programu pro dešifrování souborů, který uživatelům infikovaných počítačů pomůže obnovit přístup k souborům.

Ve dnech 1. a 2. května 2017 došlo k rozsáhlému virovému útoku na počítače s OS Windows. Jen v Rusku bylo infikováno asi 30 000 počítačů. Mezi oběťmi byli nejen běžní uživatelé, ale také mnoho organizací a vládních agentur. Podle zpráv ze sítě byly částečně infikovány Ústavní soud Ministerstva vnitra Ruské federace a síť Magathon. Útokem WannaCry, nebo jak se tomu častěji říká – WCry, utrpěla také řada dalších, méně známých organizací. Jak virus ransomware pronikl do takto chráněných zařízení, zatím není známo. Zda se jednalo o důsledek chyby některého z uživatelů, nebo jde o obecnou zranitelnost sítě ministerstva, není hlášeno. První informace o RuNetu se objevily na webu Kaspersky (ve formě), kde se o novém viru aktivně diskutovalo.

Co je to za virus?

Po průniku do počítače se virus rozbalí, nainstaluje vlastní systémové kódy pro šifrování uživatelských dat a na pozadí začne šifrovat veškeré informace v počítači vlastními kódy typu filename.wncry. Co se stane poté, co váš počítač zachytí virus:

• Ihned po vstupu do systému virus začne zcela ovládat systém a blokuje spuštění jakéhokoli softwaru, a to i bez instalace,
• Antiviry a nástroje, které nevyžadují instalaci, které se spouštějí ihned po připojení disku k systému, také nedávají žádný výsledek a jednoduše se nespustí,
• Všechny USB porty a disky přestanou fungovat,
• Obrazovka bude zablokována bannerem Wana DecryptOr 2.0, který vás informuje, že váš počítač je napaden virem, všechna data na něm jsou zašifrována a musíte zaplatit ransomware.

Majitelé viru nabízejí uživateli, aby na svůj účet převedl částku odpovídající 300 $ v bitcoinech. Nechybí ani informace, že pokud nezaplatíte požadovanou částku do 3 dnů, bude částka platby zdvojnásobena. Pokud platba není přijata do týdne, virus vymaže všechna uživatelská data z počítače. Soudě podle informací od některých našich uživatelů není toto časové schéma pro všechny stejné a existují zařízení, na kterých je doba splatnosti za ransomware 14 dní.

Jak se chránit před virem.

Není třeba panikařit, virus není nový a nelze se před ním chránit. Jedná se o obyčejný šifrovač, s jehož analogy jsme se již několikrát setkali. Abyste se vyhnuli nakažení počítačovým virem, buďte opatrní při používání veškerého softwaru. Nedoporučujeme aktualizovat žádný software, dokonce ani vestavěný software, dokud není přesně určeno, jakým způsobem virus proniká do systému. Přikláníme se k názoru, že virus proniká do počítače prostřednictvím zranitelností v nějakém programu. A zranitelnosti v programech se nejčastěji objevují po neúspěšně vyvinuté aktualizaci, ve které je tak obrovská „díra“, která umožňuje virům dostat se do systému. Máte-li zkušenosti a možnosti, nainstalujte si kvalitní firewall třetí strany a na chvíli posilněte sledování aktivity systému a sítě.

Pomoc obětem

V pátek 12. května se nám ozval stálý klient designér s notebookem, na kterém byly uloženy jeho layouty, zdroje a další grafické soubory. Jeho počítače byly infikovány virem WannaCryptor. Byla provedena řada „experimentů“, které přinesly výsledky! Pomohlo nám toto:

• Rozebrali jsme počítač, vyjmuli pevný disk s daty,
• Připojil disk k iMacu,
• Při hledání v dešifrovacích nástrojích jsme našli několik, které pomohly extrahovat některá data z jednotky D.
• Poté se zákazník rozhodl přeinstalovat systém a smazat zbývající data,
• Pro případ, že jsme vytvořili obraz systému na našem úložném zařízení, jakmile se objeví řešení problému, uložíme zbývající data.

Vážení přátelé, pokud jste se stali obětí tohoto viru, kontaktujte nás, pokusíme se pomoci. Experimenty provádíme zdarma) A zde vám podrobně řekneme, jak. Pojďme společně bojovat proti zlu!

Facebook

Cvrlikání

VK

Odnoklassniki

Telegram

Přírodní věda

WannaCry ransomware virus: co dělat?

Světem se prohnala vlna nového šifrovacího viru WannaCry (jiná jména Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), který šifruje dokumenty v počítači a vymáhá 300-600 USD za jejich dekódování. Jak můžete zjistit, zda je váš počítač infikován? Co byste měli udělat, abyste se nestali obětí? A co dělat pro uzdravení?

Je váš počítač napaden ransomwarovým virem Wana Decryptor?

Podle Jacoba Krustka () z Avastu již bylo infikováno přes 100 tisíc počítačů. 57 % z nich je v Rusku (není to divná selektivita?). hlásí evidenci více než 45 tisíc infekcí. Infikovány jsou nejen servery, ale i počítače běžných lidí, na kterých jsou nainstalovány operační systémy Windows XP, Windows Vista, Windows 7, Windows 8 a Windows 10. Všechny šifrované dokumenty mají v názvu předponu WNCRY.

Ochrana proti viru byla nalezena již v březnu, kdy Microsoft zveřejnil „záplatu“, ale soudě podle vypuknutí epidemie mnoho uživatelů, včetně systémových administrátorů, aktualizaci zabezpečení počítače ignorovalo. A stalo se, co se stalo – Megafon, Ruské dráhy, Ministerstvo vnitra a další organizace pracují na léčbě svých infikovaných počítačů.

Vzhledem k celosvětovému rozsahu epidemie zveřejnil Microsoft 12. května aktualizaci ochrany pro dlouho nepodporované produkty – Windows XP a Windows Vista.

Můžete zkontrolovat, zda je váš počítač infikován pomocí antivirového nástroje, například Kaspersky nebo (také doporučeno na fóru podpory společnosti Kaspersky).

Jak se nestát obětí ransomwarového viru Wana Decryptor?

První věc, kterou musíte udělat, je uzavřít díru. Chcete-li to provést, stáhněte si

12. května se vešlo ve známost o šifrovacím viru, který se šíří rekordní rychlostí: za jeden víkend infikoval více než 200 tisíc počítačů ve 150 zemích. Poté bylo šíření viru zastaveno, ale během jednoho dne se objevilo několik dalších verzí viru a jeho šíření pokračuje. Proto zveřejňujeme odpovědi na některé otázky, které vám v obecné rovině řeknou, o jaký virus se jedná, odkud se vzal a pomohou vám ochránit váš počítač.

Kuzmich Pavel Alekseevič,Ředitel Laboratoře počítačové forenzní analýzy na univerzitě ITMO.

Infikuje virus počítače a další zařízení jednotlivých uživatelů?
Ano, virus může také infikovat počítače uživatelů. Zaměstnanci organizací, kde byla infekce zjištěna, s největší pravděpodobností používali počítače k ​​přijímání pošty a „surfování“ na internetu, a protože nebyli přesvědčeni o bezpečnosti přijatých dopisů a stránek, které otevřeli, stáhli do nich škodlivý software. Tento způsob podvodu nelze nazvat novým: problém takzvaných šifrovacích virů je aktuální již několik let a cenu 300 dolarů lze považovat za docela „humánní“. Před rokem a půl tedy jedna organizace kontaktovala naši laboratoř, od které útočníci požadovali 700 dolarů ve stejných bitcoinech za dešifrování jediného souboru s klienty.

Co můžete udělat, abyste se vyhnuli kontaktu s virem?
Nejprve si dejte pozor, kam na internetu chodíte. Za druhé, pečlivě sledujte svou poštu a před otevřením jakýchkoli souborů v dopisech se ujistěte, že se nejedná o podvodný dopis. Velmi často jsou viry distribuovány v souborech připojených k dopisům údajně z Rostelecomu, kam zaměstnanec údajně posílá fakturu k zaplacení. Často stejné podvodné dopisy začaly přicházet jménem Sberbank a soudních vykonavatelů. Abyste se nestali obětí útočníků, měli byste se pečlivě podívat na to, kam vede odkaz v dopise, a také na to, jakou příponu má soubor připojený k dopisu. Je také důležité alespoň někdy vytvořit záložní kopie důležitých dokumentů na samostatná vyměnitelná média.

Znamená to, že všechny databáze napadených organizací jsou nyní zablokovány? Budou je útočníci moci použít pro své vlastní účely? Budou ovlivněny osobní údaje z těchto databází?
Myslím si, že o blokování práce samozřejmě nemá cenu mluvit: s největší pravděpodobností jde o problém jednotlivých pracovišť. Poněkud alarmující je však skutečnost, že zaměstnanci různých oddělení využívají pracovní počítače nejen pro práci na internetu. Je docela možné, že tímto způsobem by mohly být ohroženy důvěrné informace jejich klientů - v případě komerčních organizací, stejně jako velké objemy osobních údajů - v případě ministerstev. Doufáme, že takové informace nebyly na těchto počítačích zpracovány.

Ovlivní situace předplatitele MegaFonu? Je nyní používání mobilního internetu nebezpečné?
S největší pravděpodobností ne, protože prvky infrastruktury sítě jsou před tímto typem útoku jistě chráněny. Navíc s vysokou mírou pravděpodobnosti lze říci, že tento virus je určen pro zranitelnosti operačního systému vyráběného společností Microsoft a drtivá většina síťových zařízení je řízena buď vlastním operačním systémem nebo operačními systémy rodiny Linux.

Co se stane, když virus vstoupí do systému? Jak můžete zjistit, zda je váš počítač infikován?
Nejčastěji se infekce a aktivní fáze viru – šifrování dat – projevuje v podobě výrazného poklesu výkonu počítače. Je to důsledek skutečnosti, že šifrování je proces extrémně náročný na zdroje. To lze také zaznamenat, když se objeví soubory s neznámou příponou, ale obvykle je v této fázi příliš pozdě na jakoukoli akci.

Bude možné obnovit zamčená data?
Často je nemožné obnovit. Dříve byl klíč pro všechny infikované osoby stejný, ale poté, co byl virus zachycen a dešifrován a standardní kódy se staly široce známými (lze je najít na fórech výrobců antivirového softwaru), útočníci začali šifrovat informace pomocí pokaždé nový klíč. Mimochodem, viry používají složitou verzi šifry: nejčastěji jde o asymetrické šifrování a prolomení takové šifry je velmi obtížné, extrémně časově náročné a náročné na zdroje, což se vlastně stává nemožné.

Jak dlouho se bude virus šířit po internetu?
Myslím, že dokud to její autoři nerozdají. A to se bude dít, dokud nebudou distributoři dopadeni orgány činnými v trestním řízení nebo dokud uživatelé nepřestanou otevírat e-maily s viry a nezačnou být pozornější ke svým akcím na internetu.

Grigory Sablin, virový analytik, odborník v oblasti informační bezpečnosti na univerzitě ITMO, vítěz mezinárodních soutěží v ochraně počítačových informací (pozor: programátorský slovník!).

Útočníci využívají zranitelnost v SMB protokolu MS17_010 - oprava je již na serverech Microsoftu. Ti, kteří neaktualizovali, mohou být předmětem distribuce. Můžeme však říci, že si za to mohou tito uživatelé sami - používali pirátský software nebo neaktualizovali Windows. Sám mě zajímá, jak se situace vyvine: podobný příběh byl s chybou MS08_67, pak ji použil červ Kido a pak se také nakazilo mnoho lidí. Co mohu nyní doporučit: musíte buď vypnout počítač, nebo aktualizovat Windows. Můžete očekávat, že mnoho antivirových společností bude soutěžit o právo vydat dešifrovací nástroj. Pokud se jim to podaří, bude to skvělý PR tah a zároveň příležitost k pěkným výdělkům. Není pravda, že bude možné obnovit všechny zamčené soubory. Tento virus může proniknout kamkoli, protože mnoho počítačů ještě není aktualizováno. Mimochodem, tento exploit byl převzat z archivu, který „unikl“ z americké Národní bezpečnostní agentury (NSA), to je příklad toho, jak mohou zpravodajské služby jednat v jakékoli nouzové situaci.

Tvrdí to tisková služba univerzity ITMO

Pokračuje ve svém útiskovém pochodu přes internet, infikuje počítače a šifruje důležitá data. Jak se chránit před ransomwarem, chránit Windows před ransomwarem – byly vydány záplaty pro dešifrování a dezinfekci souborů?

Nový ransomware virus 2017 Wanna Cry pokračuje v infikování firemních a soukromých počítačů. U Škoda způsobená virovým útokem činí 1 miliardu dolarů. Za 2 týdny se virus ransomware infikoval minimálně 300 tisíc počítačů i přes varování a bezpečnostní opatření.

Ransomware virus 2017, co to je?- zpravidla si můžete „vyzvednout“ na zdánlivě nejnebezpečnějších stránkách, například na bankovních serverech s uživatelským přístupem. Jakmile je ransomware na pevném disku oběti, „usadí se“ v systémové složce System32. Odtud program okamžitě zakáže antivirus a přejde do "Autorun"" Po každém restartu ransomware běží do registru, začíná svou špinavou práci. Ransomware začne stahovat podobné kopie programů jako Ransom a Trojan. Často se to také stává sebereplikace ransomwaru. Tento proces může být chvilkový, nebo může trvat týdny, než si oběť všimne, že je něco špatně.

Ransomware se často maskuje jako obyčejné obrázky nebo textové soubory ale podstata je vždy stejná - toto je spustitelný soubor s příponou .exe, .drv, .xvd; Někdy - knihovny.dll. Nejčastěji má soubor zcela neškodný název, například „ dokument. doc", nebo " obrázek.jpg", kde se přípona zapisuje ručně, a skutečný typ souboru je skrytý.

Po dokončení šifrování uživatel vidí místo známých souborů sadu „náhodných“ znaků v názvu a uvnitř a přípona se změní na dříve neznámou - .NO_MORE_RANSOM, .xdata a další.

Wanna Cry ransomware virus 2017 – jak se chránit. Hned bych poznamenal, že Wanna Cry je spíše souhrnné označení pro všechny šifrovací a ransomwarové viry, protože v poslední době infikuje počítače nejčastěji. Takže si budeme povídat Chraňte se před ransomware Ransom Ware, kterých je celá řada: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Jak chránit Windows před ransomwarem. – EternalBlue přes protokol portu SMB.

Ochrana Windows před ransomwarem 2017 – základní pravidla:

• Aktualizace systému Windows, včasný přechod na licencovaný operační systém (poznámka: verze XP není aktualizována)
• aktualizace antivirových databází a firewallů na vyžádání
• extrémní opatrnost při stahování jakýchkoli souborů (roztomilé „pečetě“ mohou vést ke ztrátě všech dat)
• Zálohování důležitých informací na vyměnitelná média.

Ransomware virus 2017: jak dezinfikovat a dešifrovat soubory.

Spoléháte-li se na antivirový software, můžete na decryptor na chvíli zapomenout. V laboratořích Kaspersky, Dr. Web, Avast! a další antiviry prozatím nebylo nalezeno žádné řešení pro léčbu infikovaných souborů. V současné době je možné virus odstranit pomocí antiviru, ale zatím neexistují žádné algoritmy, které by vše vrátily „do normálu“.

Někteří se snaží používat dešifrovací nástroje, jako je nástroj RectorDecryptor, ale to nepomůže: Algoritmus pro dešifrování nových virů ještě nebyl sestaven. Je také absolutně neznámé, jak se virus bude chovat, pokud nebude po použití takových programů odstraněn. Často to může mít za následek vymazání všech souborů - jako varování pro ty, kteří nechtějí platit útočníkům, autorům viru.

V tuto chvíli je nejúčinnějším způsobem, jak obnovit ztracená data, kontaktovat technickou podporu. podporu od dodavatele antivirového programu, který používáte. Chcete-li to provést, zašlete dopis nebo použijte formulář zpětné vazby na webu výrobce. Nezapomeňte do přílohy přidat zašifrovaný soubor a kopii originálu, pokud je k dispozici. To pomůže programátorům při sestavování algoritmu. Bohužel pro mnohé je virový útok naprostým překvapením a nenajdou se žádné kopie, což situaci značně komplikuje.

Kardiální metody léčby Windows před ransomwarem. Bohužel se někdy musíte uchýlit k úplnému zformátování pevného disku, což znamená úplnou změnu operačního systému. Mnoho lidí bude přemýšlet o obnovení systému, ale to není možnost - dokonce i „rollback“ se zbaví viru, ale soubory zůstanou zašifrovány.