• Lebih dari 200.000 komputer telah terinfeksi!

Sasaran utama serangan ditujukan pada sektor korporasi, disusul perusahaan telekomunikasi di Spanyol, Portugal, Tiongkok, dan Inggris.

• Pukulan terbesar ditujukan kepada pengguna dan perusahaan Rusia. Termasuk Megafon, Kereta Api Rusia dan, menurut informasi yang belum dikonfirmasi, Komite Investigasi dan Kementerian Dalam Negeri. Bank Tabungan dan Kementerian Kesehatan juga melaporkan serangan terhadap sistem mereka.

Untuk dekripsi data, penyerang meminta uang tebusan sebesar 300 hingga 600 dolar dalam bentuk bitcoin (sekitar 17.000-34.000 rubel).

Pembaruan Windows 10 versi 1909

Peta infeksi interaktif (KLIK PETA)
Jendela tebusan
Mengenkripsi file dengan ekstensi berikut

Meskipun virus ini menyasar sektor korporasi, rata-rata pengguna juga tidak kebal dari penetrasi WannaCry dan kemungkinan hilangnya akses ke file.

• Petunjuk untuk melindungi komputer Anda dan data di dalamnya dari infeksi:

1. Instal aplikasi Kaspersky System Watcher, yang dilengkapi dengan fungsi bawaan untuk mengembalikan perubahan yang disebabkan oleh tindakan enkripsi yang berhasil melewati tindakan keamanan.

2. Pengguna perangkat lunak antivirus dari Kaspersky Lab disarankan untuk memeriksa apakah fungsi “Monitor Sistem” diaktifkan.

3. Pengguna program antivirus dari ESET NOD32 untuk Windows 10 telah diperkenalkan untuk memeriksa pembaruan OS baru yang tersedia. Jika Anda telah berhati-hati sebelumnya dan mengaktifkannya, maka semua pembaruan Windows baru yang diperlukan akan diinstal dan sistem Anda akan sepenuhnya terlindungi dari virus WannaCryptor ini dan serangan serupa lainnya.

4. Selain itu, pengguna produk ESET NOD32 memiliki fungsi dalam program seperti mendeteksi ancaman yang belum diketahui. Metode ini didasarkan pada penggunaan teknologi perilaku dan heuristik.

Jika suatu virus berperilaku seperti virus, kemungkinan besar itu adalah virus.

Sejak 12 Mei, teknologi sistem cloud ESET LiveGrid telah berhasil menangkis semua serangan virus ini, dan semua ini terjadi bahkan sebelum database tanda tangan diperbarui.

5. Teknologi ESET juga memberikan keamanan untuk perangkat yang menjalankan sistem warisan Windows XP, Windows 8 dan Windows Server 2003 ( Kami menyarankan Anda berhenti menggunakan sistem usang ini). Karena tingkat ancaman yang sangat tinggi yang muncul pada OS ini, Microsoft memutuskan untuk merilis pembaruan. Unduh itu.

6. Untuk meminimalkan ancaman kerusakan pada PC Anda, Anda harus segera memperbarui versi Windows 10 Anda: Mulai - Pengaturan - Pembaruan dan Keamanan - Periksa pembaruan (dalam kasus lain: Mulai - Semua Program - Pembaruan Windows - Pencarian Pembaruan - Unduh dan pasang).

7. Instal patch resmi (MS17-010) dari Microsoft, yang memperbaiki kesalahan server SMB yang dapat ditembus virus. Server ini terlibat dalam serangan ini.

8. Pastikan semua alat keamanan yang tersedia berjalan dan berfungsi dengan baik di komputer Anda.

9. Pindai seluruh sistem Anda dari virus. Setelah terkena serangan berbahaya yang disebut MEM:Trojan.Win64.EquationDrug.gen, reboot sistem.

Dan sekali lagi saya sarankan Anda memeriksa apakah patch MS17-010 sudah diinstal.

Saat ini, spesialis dari Kaspersky Lab, ESET NOD32, dan produk antivirus lainnya secara aktif berupaya menulis program dekripsi file yang akan membantu pengguna PC yang terinfeksi memulihkan akses ke file.

Pada tanggal 1 dan 2 Mei 2017, serangan virus besar-besaran terjadi pada komputer yang menjalankan OS Windows. Di Rusia saja, sekitar 30.000 komputer terinfeksi. Di antara para korban tidak hanya pengguna biasa, tetapi juga banyak organisasi dan lembaga pemerintah. Menurut laporan dari jaringan tersebut, Mahkamah Konstitusi Kementerian Dalam Negeri Federasi Rusia dan jaringan Magathon terinfeksi sebagian. Selain itu, sejumlah organisasi lain yang kurang terkenal juga terkena serangan WannaCry, atau lebih sering disebut – WCry. Bagaimana virus ransomware menembus perangkat yang dilindungi tersebut masih belum diketahui. Apakah ini merupakan konsekuensi dari kesalahan salah satu pengguna, atau apakah ini merupakan kerentanan umum jaringan Kementerian tidak dilaporkan. Informasi pertama di RuNet muncul di situs web Kaspersky (dalam bentuk), di mana terdapat diskusi aktif tentang virus baru.

Virus macam apa ini?

Setelah menembus komputer, virus membongkar, memasang kode enkripsi sistemnya sendiri untuk data pengguna, dan di latar belakang mulai mengenkripsi semua informasi di komputer dengan kode jenis nama file.wncry miliknya sendiri. Inilah yang terjadi setelah komputer Anda terkena virus:

• Segera setelah memasuki sistem, virus mulai mengontrol sistem sepenuhnya, memblokir peluncuran perangkat lunak apa pun, bahkan tanpa instalasi,
• Antivirus dan utilitas yang tidak memerlukan instalasi, yang diluncurkan segera setelah menghubungkan drive ke sistem, juga tidak memberikan hasil apa pun dan tidak dapat dijalankan,
• Semua port dan drive USB berhenti berfungsi,
• Layar akan diblokir oleh spanduk Wana DecryptOr 2.0, memberi tahu Anda bahwa komputer Anda terinfeksi virus, semua data di dalamnya dienkripsi, dan Anda harus membayar ransomware.

Pemilik virus menawarkan pengguna untuk mentransfer jumlah yang setara dengan $300 dalam bentuk bitcoin ke akun mereka. Ada juga informasi bahwa jika Anda tidak membayar jumlah yang diminta dalam waktu 3 hari, jumlah pembayaran akan berlipat ganda. Jika pembayaran tidak diterima dalam waktu seminggu, virus akan menghapus semua data pengguna dari komputer. Dilihat dari informasi dari beberapa pengguna kami, skema waktu ini tidak sama untuk semua orang, dan ada perangkat yang periode pembayaran untuk ransomware adalah 14 hari.

Bagaimana melindungi diri Anda dari virus.

Tidak perlu panik; virus ini bukanlah virus baru dan tidak dapat dilindungi. Ini adalah enkripsi biasa, yang analognya telah kami temui beberapa kali. Untuk menghindari tertular virus komputer, berhati-hatilah saat menggunakan semua perangkat lunak. Kami tidak menyarankan memperbarui perangkat lunak apa pun, bahkan perangkat lunak bawaan, sampai ditentukan secara pasti bagaimana virus menembus sistem. Kami cenderung percaya bahwa virus memasuki komputer melalui kerentanan pada beberapa program. Dan kerentanan dalam program paling sering muncul setelah pembaruan yang dikembangkan tidak berhasil, di mana terdapat “lubang” besar yang memungkinkan virus masuk ke sistem. Jika Anda memiliki pengalaman dan kemampuan, pasang firewall pihak ketiga berkualitas tinggi dan perkuat pemantauan sistem dan aktivitas jaringan untuk sementara waktu.

Membantu para korban

Pada hari Jumat, 12 Mei, klien tetap, seorang desainer, menghubungi kami dengan laptop yang menyimpan tata letak, sumber, dan file grafik lainnya. Komputernya terinfeksi virus WannaCryptor. Sejumlah “eksperimen” dilakukan dan membuahkan hasil! Inilah yang membantu kami:

• Kami membongkar komputer, melepaskan hard drive dengan data,
• Menghubungkan drive ke iMac,
• Dengan mencari melalui decryptor, kami menemukan beberapa yang membantu mengekstrak beberapa data dari drive D.
• Setelah itu, pelanggan memutuskan untuk menginstal ulang sistem dan menghapus data yang tersisa,
• Untuk berjaga-jaga, kami membuat citra sistem pada perangkat penyimpanan kami, segera setelah solusi untuk masalah tersebut muncul, kami akan menyimpan sisa data.

Teman-teman sekalian, jika anda sudah menjadi korban virus ini, silahkan hubungi kami, kami akan berusaha membantu. Kami melakukan eksperimen secara gratis) Dan di sini kami memberi tahu Anda secara detail caranya. Mari kita lawan kejahatan bersama-sama!

Facebook

Twitter

VK

Teman sekelas

Telegram

Ilmu pengetahuan Alam

Virus ransomware WannaCry: apa yang harus dilakukan?

Gelombang virus enkripsi baru, WannaCry (nama lain Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), telah melanda seluruh dunia, yang mengenkripsi dokumen di komputer dan memeras 300-600 USD untuk mendekodekannya. Bagaimana cara mengetahui apakah komputer Anda terinfeksi? Apa yang harus Anda lakukan agar tidak menjadi korban? Dan apa yang harus dilakukan untuk pulih?

Apakah komputer Anda terinfeksi virus ransomware Wana Decryptor?

Menurut Jacob Krustek () dari Avast, lebih dari 100 ribu komputer telah terinfeksi. 57% dari mereka berada di Rusia (bukankah ini merupakan selektivitas yang aneh?). melaporkan pencatatan lebih dari 45 ribu infeksi. Tidak hanya server yang terinfeksi, tetapi juga komputer orang biasa yang menginstal sistem operasi Windows XP, Windows Vista, Windows 7, Windows 8 dan Windows 10. Semua dokumen terenkripsi memiliki awalan WNCRY di namanya.

Perlindungan terhadap virus ditemukan pada bulan Maret, ketika Microsoft menerbitkan “tambalan”, namun, jika dilihat dari merebaknya epidemi, banyak pengguna, termasuk administrator sistem, mengabaikan pembaruan keamanan komputer. Dan apa yang terjadi terjadi - Megafon, Kereta Api Rusia, Kementerian Dalam Negeri, dan organisasi lain sedang berupaya merawat komputer mereka yang terinfeksi.

Mengingat skala epidemi global, pada tanggal 12 Mei, Microsoft menerbitkan pembaruan perlindungan untuk produk yang sudah lama tidak didukung – Windows XP dan Windows Vista.

Anda dapat memeriksa apakah komputer Anda terinfeksi menggunakan utilitas antivirus, misalnya Kaspersky atau (juga direkomendasikan di forum dukungan Kaspersky).

Bagaimana cara menghindari menjadi korban virus ransomware Wana Decryptor?

Hal pertama yang harus Anda lakukan adalah menutup lubangnya. Untuk melakukan ini, unduh

Pada tanggal 12 Mei, diketahui tentang virus enkripsi yang menyebar dengan kecepatan tinggi: dalam satu akhir pekan virus ini menginfeksi lebih dari 200 ribu komputer di 150 negara. Setelah itu, penyebaran virus dihentikan, namun dalam sehari beberapa versi virus muncul dan penyebarannya terus berlanjut. Oleh karena itu, kami menerbitkan jawaban atas beberapa pertanyaan yang akan memberi tahu Anda secara umum jenis virus apa ini, dari mana asalnya, dan akan membantu Anda melindungi komputer Anda.

Kuzmich Pavel Alekseevich, Direktur Laboratorium Forensik Komputer Universitas ITMO.

Apakah virus menginfeksi komputer dan perangkat lain milik pengguna individu?
Ya, virus juga dapat menginfeksi komputer pengguna. Kemungkinan besar, karyawan dari organisasi tempat infeksi terdeteksi menggunakan komputer untuk menerima surat dan “menjelajahi” Internet dan, karena tidak yakin akan keamanan surat yang diterima dan situs yang mereka buka, mengunduh perangkat lunak berbahaya ke dalamnya. Metode penipuan ini tidak bisa disebut baru: masalah yang disebut virus enkripsi telah relevan selama beberapa tahun, dan harga $300 dapat dianggap cukup “manusiawi.” Jadi, satu setengah tahun yang lalu, satu organisasi menghubungi laboratorium kami, dan penyerang meminta $700 dalam bitcoin yang sama untuk mendekripsi hanya satu file dengan klien.

Apa yang dapat Anda lakukan agar tidak terkena virus?
Pertama, berhati-hatilah saat Anda mengakses Internet. Kedua, perhatikan baik-baik surat Anda dan, sebelum membuka file apa pun di surat itu, pastikan itu bukan surat palsu. Seringkali, virus didistribusikan dalam file yang dilampirkan pada surat yang diduga dari Rostelecom, di mana seorang karyawan diduga mengirimkan faktur pembayaran. Seringkali surat penipuan yang sama mulai berdatangan atas nama Bank Tabungan, serta juru sita. Untuk menghindari menjadi korban penyerang, Anda harus hati-hati melihat ke mana tautan dalam surat itu mengarah, serta ekstensi apa yang dimiliki file yang dilampirkan pada surat itu. Ya, penting juga untuk setidaknya terkadang membuat salinan cadangan dokumen penting ke media lepasan terpisah.

Apakah ini berarti semua database organisasi yang diserang kini diblokir? Akankah penyerang dapat menggunakannya untuk tujuan mereka sendiri? Apakah data pribadi dari database ini akan terpengaruh?
Saya pikir tentu saja tidak ada gunanya membicarakan pemblokiran pekerjaan: kemungkinan besar, ini adalah masalah tempat kerja individu. Namun, fakta bahwa karyawan dari berbagai departemen menggunakan komputer kerja tidak hanya untuk bekerja di Internet agak mengkhawatirkan. Sangat mungkin bahwa dengan cara ini informasi rahasia klien mereka dapat disusupi - dalam kasus organisasi komersial, serta data pribadi dalam jumlah besar - dalam kasus departemen pemerintah. Diharapkan informasi tersebut tidak diproses di komputer tersebut.

Akankah situasi ini mempengaruhi pelanggan MegaFon? Apakah berbahaya menggunakan Internet seluler sekarang?
Kemungkinan besar tidak, karena elemen infrastruktur jaringan pasti terlindungi dari serangan jenis ini. Selain itu, dengan tingkat kemungkinan yang tinggi kita dapat mengatakan bahwa virus ini dirancang untuk mengatasi kerentanan pada sistem operasi yang diproduksi oleh Microsoft, dan sebagian besar peralatan jaringan dikendalikan oleh sistem operasinya sendiri atau sistem operasi keluarga Linux.

Apa yang terjadi jika virus memasuki suatu sistem? Bagaimana cara mengetahui apakah komputer Anda terinfeksi?
Paling sering, infeksi dan fase aktif virus - enkripsi data - memanifestasikan dirinya dalam bentuk penurunan kinerja komputer yang signifikan. Hal ini merupakan konsekuensi dari fakta bahwa enkripsi adalah proses yang sangat intensif sumber daya. Hal ini juga dapat diperhatikan ketika file dengan ekstensi yang tidak diketahui muncul, tetapi biasanya pada tahap ini sudah terlambat untuk mengambil tindakan apa pun.

Apakah mungkin memulihkan data yang terkunci?
Seringkali tidak mungkin untuk memulihkan. Sebelumnya, kuncinya sama untuk semua orang yang terinfeksi, tetapi setelah virus ditangkap dan didekripsi, dan kode standar dikenal luas (dapat ditemukan di forum produsen perangkat lunak anti-virus), penyerang mulai mengenkripsi informasi dengan a kunci baru setiap saat. Omong-omong, virus menggunakan versi sandi yang kompleks: paling sering ini adalah enkripsi asimetris, dan memecahkan sandi semacam itu sangat sulit, sangat memakan waktu dan sumber daya, yang sebenarnya menjadi tidak mungkin.

Berapa lama virus akan menyebar di Internet?
Saya pikir sampai penulisnya mendistribusikannya. Dan ini akan terjadi sampai distributornya ditangkap oleh lembaga penegak hukum atau sampai pengguna berhenti membuka email yang berisi virus dan mulai lebih memperhatikan tindakan mereka di Internet.

Grigory Sablin, analis virus, pakar keamanan informasi di Universitas ITMO, pemenang kompetisi internasional dalam perlindungan informasi komputer (hati-hati: kosakata programmer!).

Penyerang mengeksploitasi kerentanan dalam protokol SMB MS17_010 - patch sudah ada di server Microsoft. Yang belum update mungkin kena distribusi. Namun, kita dapat mengatakan, para pengguna ini sendirilah yang harus disalahkan - mereka menggunakan perangkat lunak bajakan atau tidak memperbarui Windows. Saya sendiri tertarik bagaimana perkembangannya: ada cerita serupa dengan bug MS08_67, kemudian digunakan oleh worm Kido, dan kemudian banyak orang juga yang tertular. Apa yang bisa saya rekomendasikan sekarang: Anda perlu mematikan komputer atau memperbarui Windows. Anda dapat memperkirakan bahwa banyak perusahaan antivirus akan bersaing untuk mendapatkan hak merilis utilitas dekripsi. Jika mereka berhasil melakukan ini, ini akan menjadi langkah PR yang brilian, sekaligus peluang untuk menghasilkan banyak uang. Bukan fakta bahwa semua file yang terkunci dapat dipulihkan. Virus ini dapat menembus dimana saja karena banyak komputer yang belum diupdate. Omong-omong, eksploitasi ini diambil dari arsip yang “dibocorkan” dari Badan Keamanan Nasional AS (NSA), yaitu contoh bagaimana badan intelijen dapat bertindak dalam situasi darurat apa pun.

Menurut layanan pers Universitas ITMO

Virus ini terus melakukan penindasan di Internet, menginfeksi komputer dan mengenkripsi data penting. Bagaimana cara melindungi diri Anda dari ransomware, melindungi Windows dari ransomware - apakah patch telah dirilis untuk mendekripsi dan mendisinfeksi file?

Virus ransomware baru 2017 Ingin Menangis terus menginfeksi PC perusahaan dan pribadi. kamu Kerugian akibat serangan virus berjumlah $1 miliar. Dalam 2 minggu, virus ransomware setidaknya menginfeksi 300 ribu komputer, meskipun ada peringatan dan tindakan keamanan.

Virus Ransomware 2017, Apa Itu?- sebagai aturan, Anda dapat "mengambil" situs yang tampaknya paling tidak berbahaya, misalnya, server bank dengan akses pengguna. Setelah berada di hard drive korban, ransomware “menetap” di folder sistem System32. Dari situ program langsung menonaktifkan antivirus dan masuk ke "Jalan Otomatis"" Setelah setiap reboot, ransomware berjalan ke dalam registri, memulai pekerjaan kotornya. Ransomware mulai mengunduh salinan program serupa seperti Ransom dan Trojan. Hal ini juga sering terjadi replikasi diri ransomware. Proses ini bisa berlangsung sesaat, atau bisa memakan waktu berminggu-minggu hingga korban menyadari ada yang tidak beres.

Ransomware sering kali menyamar sebagai gambar atau file teks biasa, tapi intinya selalu sama - ini adalah file yang dapat dieksekusi dengan ekstensi .exe, .drv, .xvd; Kadang-kadang - perpustakaan.dll. Paling sering, file tersebut memiliki nama yang sama sekali tidak berbahaya, misalnya “ dokumen. dokter", atau " gambar.jpg", dimana ekstensinya ditulis secara manual, dan jenis file sebenarnya disembunyikan.

Setelah enkripsi selesai, pengguna melihat, alih-alih file yang sudah dikenal, sekumpulan karakter "acak" dalam nama dan di dalamnya, dan ekstensi berubah menjadi yang sebelumnya tidak diketahui - .NO_MORE_RANSOM, .xdata dan lain-lain.

Virus ransomware Wanna Cry 2017 – cara melindungi diri Anda sendiri. Saya ingin segera mencatat bahwa Wanna Cry adalah istilah kolektif untuk semua virus enkripsi dan ransomware, karena baru-baru ini virus ini paling sering menginfeksi komputer. Jadi, kita akan membicarakannya Lindungi diri Anda dari ransomware Ransom Ware, yang banyak sekali: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Bagaimana melindungi Windows dari ransomware. – EternalBlue melalui protokol port SMB.

Melindungi Windows dari ransomware 2017 – aturan dasar:

• Pembaruan Windows, transisi tepat waktu ke OS berlisensi (catatan: versi XP tidak diperbarui)
• memperbarui database anti-virus dan firewall sesuai permintaan
• sangat berhati-hati saat mengunduh file apa pun (“segel” yang lucu dapat mengakibatkan hilangnya semua data)
• cadangan informasi penting ke media yang dapat dipindahkan.

Virus Ransomware 2017: cara mendisinfeksi dan mendekripsi file.

Mengandalkan perangkat lunak antivirus, Anda bisa melupakan decryptor untuk sementara waktu. Di laboratorium Kaspersky, Dr. Web, Avast! dan antivirus lainnya untuk saat ini tidak ada solusi yang ditemukan untuk menangani file yang terinfeksi. Saat ini, virus dapat dihilangkan dengan menggunakan antivirus, namun belum ada algoritma yang dapat mengembalikan semuanya “normal”.

Beberapa mencoba menggunakan decryptor seperti utilitas RectorDecryptor, tapi ini tidak akan membantu: algoritma untuk mendekripsi virus baru belum dikompilasi. Juga tidak diketahui secara pasti bagaimana virus akan berperilaku jika tidak dihapus setelah menggunakan program tersebut. Seringkali hal ini dapat mengakibatkan penghapusan semua file - sebagai peringatan bagi mereka yang tidak mau membayar kepada penyerang, pembuat virus.

Saat ini, cara paling efektif untuk memulihkan data yang hilang adalah dengan menghubungi dukungan teknis. dukungan dari vendor program antivirus yang Anda gunakan. Untuk melakukan ini, Anda harus mengirim surat atau menggunakan formulir umpan balik di situs web produsen. Pastikan untuk menambahkan file terenkripsi ke lampiran dan, jika tersedia, salinan aslinya. Hal ini akan membantu programmer dalam menyusun algoritmanya. Sayangnya, bagi banyak orang, serangan virus benar-benar mengejutkan, dan tidak ada salinan yang ditemukan, sehingga memperumit situasi.

Metode jantung untuk mengobati Windows dari ransomware. Sayangnya, terkadang Anda harus memformat hard drive sepenuhnya, yang memerlukan perubahan total pada OS. Banyak yang akan berpikir untuk memulihkan sistem, tetapi ini bukanlah suatu pilihan - bahkan "rollback" akan menghilangkan virus, namun file akan tetap terenkripsi.