Nuova patch antivirus per windows. Il virus ransomware WannaCry ha bloccato il tuo PC! Come proteggersi dalle infezioni? Istruzioni per proteggere il computer e i dati in esso contenuti dalle infezioni

  • Sono già stati infettati più di 200.000 computer!
Gli obiettivi principali dell'attacco erano rivolti al settore aziendale, seguito dalle società di telecomunicazioni in Spagna, Portogallo, Cina e Inghilterra.
  • Il colpo più grande è stato inferto agli utenti e alle aziende russe. Tra cui Megafon, le Ferrovie russe e, secondo informazioni non confermate, il comitato investigativo e il Ministero degli affari interni. Anche Sberbank e il Ministero della Salute hanno segnalato attacchi ai loro sistemi.
Per la decrittazione dei dati gli aggressori chiedono un riscatto compreso tra 300 e 600 dollari in bitcoin (circa 17.000-34.000 rubli).

Aggiornamento di Windows 10 versione 1909

Mappa interattiva dei contagi (CLICCA SULLA MAPPA)
Finestra di riscatto
Crittografa i file con le seguenti estensioni

Nonostante il virus abbia preso di mira il settore aziendale, anche l'utente medio non è immune dalla penetrazione di WannaCry e dalla possibile perdita di accesso ai file.
  • Istruzioni per proteggere il computer e i dati in esso contenuti dalle infezioni:
1. Installare l'applicazione Kaspersky System Watcher, dotata di una funzione integrata per ripristinare le modifiche causate dalle azioni di un crittografo che è riuscito a bypassare le misure di sicurezza.
2. Si consiglia agli utenti del software antivirus di Kaspersky Lab di verificare che la funzione "Monitoraggio del sistema" sia abilitata.
3. Gli utenti del programma antivirus di ESET NOD32 per Windows 10 sono stati invitati a verificare la disponibilità di nuovi aggiornamenti del sistema operativo. Se ti sei preso cura in anticipo e l'hai abilitato, verranno installati tutti i nuovi aggiornamenti Windows necessari e il tuo sistema sarà completamente protetto da questo virus WannaCryptor e altri attacchi simili.
4. Inoltre, gli utenti dei prodotti ESET NOD32 hanno una funzione nel programma come il rilevamento di minacce ancora sconosciute. Questo metodo si basa sull’uso di tecnologie comportamentali ed euristiche.

Se un virus si comporta come un virus, molto probabilmente è un virus.

Dal 12 maggio, la tecnologia del sistema cloud ESET LiveGrid ha respinto con successo tutti gli attacchi di questo virus e tutto ciò è avvenuto anche prima dell'aggiornamento del database delle firme.
5. Le tecnologie ESET forniscono sicurezza anche ai dispositivi che eseguono sistemi legacy Windows XP, Windows 8 e Windows Server 2003 ( Ti consigliamo di smettere di utilizzare questi sistemi obsoleti). A causa del livello molto elevato di minacce emergenti per questi sistemi operativi, Microsoft ha deciso di rilasciare aggiornamenti. Scaricateli.
6. Per ridurre al minimo il rischio di danni al PC, è necessario aggiornare urgentemente la versione di Windows 10: Start - Impostazioni - Aggiornamento e sicurezza - Verifica aggiornamenti (in altri casi: Start - Tutti i programmi - Windows Update - Cerca aggiornamenti - Scarica e installa).
7. Installa la patch ufficiale (MS17-010) di Microsoft, che corregge l'errore del server SMB attraverso il quale il virus può penetrare. Questo server è coinvolto in questo attacco.
8. Assicurati che tutti gli strumenti di sicurezza disponibili siano in esecuzione e funzionanti sul tuo computer.
9. Scansiona l'intero sistema alla ricerca di virus. Dopo l'esposizione di un attacco dannoso chiamato MEM:Trojan.Win64.EquationDrug.gen, riavviare il sistema.
E ancora una volta ti consiglio di verificare che le patch MS17-010 siano installate.

Attualmente, gli specialisti di Kaspersky Lab, ESET NOD32 e altri prodotti antivirus stanno lavorando attivamente alla scrittura di un programma di decrittografia dei file che aiuterà gli utenti di PC infetti a ripristinare l'accesso ai file.

L'1 e il 2 maggio 2017 si è verificato un attacco di virus su larga scala contro computer con sistema operativo Windows. Solo in Russia sono stati infettati circa 30.000 computer. Tra le vittime non c'erano solo gli utenti comuni, ma anche molte organizzazioni ed enti governativi. Secondo quanto riferito dalla rete, la Corte Costituzionale del Ministero degli Interni della Federazione Russa e la rete Magathon sono state parzialmente infettate. Inoltre, una serie di altre organizzazioni meno conosciute hanno subito l’attacco WannaCry, o come viene più spesso chiamato – WCry. Non è ancora noto come il virus ransomware sia penetrato in questi dispositivi protetti. Non viene segnalato se ciò sia dovuto ad un errore di uno degli utenti o se si tratti di una vulnerabilità generale della rete del Ministero. Le prime informazioni su RuNet sono apparse sul sito web di Kaspersky (in un modulo), dove si discuteva attivamente del nuovo virus.

Che tipo di virus è questo?

Dopo essere penetrato nel computer, il virus si decomprime, installa i propri codici di crittografia di sistema per i dati dell'utente e in background inizia a crittografare tutte le informazioni sul computer con i propri codici del tipo filename.wncry. Ecco cosa succede quando il tuo computer rileva un virus:

  • Subito dopo essere entrato nel sistema, il virus inizia a controllare completamente il sistema, bloccando l'avvio di qualsiasi software, anche senza installazione,
  • Anche gli antivirus e le utilità che non richiedono installazione, che vengono avviati immediatamente dopo aver collegato l'unità al sistema, non danno alcun risultato e semplicemente non si avviano,
  • Tutte le porte e le unità USB smettono di funzionare,
  • Lo schermo verrà bloccato dal banner Wana DecryptOr 2.0, che ti informa che il tuo computer è infetto da un virus, tutti i dati su di esso sono crittografati e devi pagare il ransomware.
I proprietari del virus offrono all'utente di trasferire sul proprio conto un importo equivalente a 300 dollari in bitcoin. Ci sono anche informazioni che se non paghi l'importo richiesto entro 3 giorni, l'importo del pagamento verrà raddoppiato. Se il pagamento non viene ricevuto entro una settimana, il virus cancellerà tutti i dati dell'utente dal computer. A giudicare dalle informazioni di alcuni dei nostri utenti, questo schema temporale non è lo stesso per tutti e ci sono dispositivi su cui il periodo di pagamento del ransomware è di 14 giorni.

Come proteggersi dal virus.

Non c’è bisogno di farsi prendere dal panico: il virus non è nuovo e non è possibile proteggerlo. Questo è un normale crittografo, i cui analoghi abbiamo già incontrato più volte. Per evitare di contrarre un virus informatico, fare attenzione quando si utilizzano tutti i software. Si sconsiglia di aggiornare qualsiasi software, anche quello integrato, finché non viene determinato con precisione il modo in cui il virus penetra nel sistema. Siamo propensi a credere che il virus entri nel computer attraverso le vulnerabilità di alcuni programmi. E le vulnerabilità nei programmi compaiono molto spesso dopo un aggiornamento sviluppato senza successo, in cui esiste un "buco" così enorme che consente ai virus di entrare nel sistema. Se hai esperienza e capacità, installa un firewall di terze parti di alta qualità e rafforza il monitoraggio del sistema e dell'attività di rete per un po'.

Aiutare le vittime

Venerdì 12 maggio un cliente abituale, un designer, ci ha contattato con un laptop su cui erano archiviati i suoi layout, sorgenti e altri file grafici. I suoi computer sono stati infettati dal virus WannaCryptor. Sono stati condotti numerosi “esperimenti” che hanno dato risultati! Ecco cosa ci ha aiutato:

  • Abbiamo smontato il computer, rimosso il disco rigido con i dati,
  • Collegato l'unità all'iMac,
  • Cercando tra i decryptor, ne abbiamo trovati diversi che hanno aiutato a estrarre alcuni dati dall'unità D.
  • Successivamente, il cliente ha deciso di reinstallare il sistema ed eliminare i dati rimanenti,
  • Per ogni evenienza, abbiamo creato un'immagine di sistema sul nostro dispositivo di archiviazione, non appena apparirà la soluzione al problema, salveremo i dati rimanenti.
Cari amici, se siete rimasti vittima di questo virus, contattateci, cercheremo di aiutarvi. Effettuiamo esperimenti gratuitamente) E qui vi spieghiamo nel dettaglio come. Combattiamo insieme il male!

Facebook

Twitter

VK

Odnoklassniki

Telegramma

Scienze naturali

Virus ransomware WannaCry: cosa fare?

Un'ondata di un nuovo virus di crittografia, WannaCry (altri nomi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), si è diffusa in tutto il mondo, che crittografa i documenti su un computer ed estorce 300-600 dollari per decodificarli. Come puoi sapere se il tuo computer è infetto? Cosa fare per evitare di diventare una vittima? E cosa fare per recuperare?

Il tuo computer è infetto dal virus ransomware Wana Decryptor?


Secondo Jacob Krustek () di Avast sono già stati infettati oltre 100mila computer. Il 57% di loro si trova in Russia (non è una strana selettività?). segnala la registrazione di oltre 45mila contagi. Ad essere infettati non sono solo i server, ma anche i computer di persone comuni su cui sono installati i sistemi operativi Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10. Tutti i documenti crittografati hanno nel nome il prefisso WNCRY.

La protezione contro il virus è stata trovata già a marzo, quando Microsoft ha pubblicato una “patch”, ma, a giudicare dallo scoppio dell’epidemia, molti utenti, compresi gli amministratori di sistema, hanno ignorato l’aggiornamento della sicurezza del computer. E quello che è successo è successo: Megafon, le Ferrovie russe, il Ministero degli affari interni e altre organizzazioni stanno lavorando per curare i loro computer infetti.

Considerata la portata globale dell’epidemia, il 12 maggio Microsoft ha pubblicato un aggiornamento di protezione per i prodotti non supportati da tempo: Windows XP e Windows Vista.

Puoi verificare se il tuo computer è infetto utilizzando un'utilità antivirus, ad esempio Kaspersky o (consigliato anche sul forum di supporto di Kaspersky).

Come evitare di diventare vittima del virus ransomware Wana Decryptor?

La prima cosa che devi fare è chiudere il buco. Per fare ciò, scarica

Il 12 maggio si è saputo di un virus crittografico che si stava diffondendo a velocità record: in un fine settimana ha infettato più di 200mila computer in 150 paesi. Successivamente, la diffusione del virus è stata interrotta, ma nel giro di un giorno sono apparse diverse altre versioni del virus e la sua diffusione continua. Pertanto pubblichiamo le risposte ad alcune domande che vi diranno in termini generali che tipo di virus è, da dove proviene e vi aiuteranno a proteggere il vostro computer.

Kuzmich Pavel Alekseevich, Direttore del Laboratorio di Informatica Forense dell'Università ITMO.

Il virus infetta i computer e altri dispositivi dei singoli utenti?
Sì, il virus può infettare anche i computer degli utenti. Molto probabilmente, i dipendenti delle organizzazioni in cui è stata rilevata l'infezione hanno utilizzato i computer per ricevere posta e "navigare" in Internet e, non essendo convinti della sicurezza delle lettere ricevute e dei siti aperti, hanno scaricato su di essi software dannoso. Questo metodo di frode non può essere definito nuovo: il problema dei cosiddetti virus di crittografia è rilevante da diversi anni e il prezzo di 300 dollari può essere considerato abbastanza “umano”. Così, un anno e mezzo fa, un'organizzazione ha contattato il nostro laboratorio, al quale gli aggressori hanno chiesto 700 dollari in bitcoin per decrittografare un solo file con i clienti.

Cosa puoi fare per evitare di esporti al virus?
Innanzitutto, fai attenzione a dove vai su Internet. In secondo luogo, osserva attentamente la tua posta e, prima di aprire qualsiasi file contenuto nelle lettere, assicurati che non si tratti di una lettera fraudolenta. Molto spesso, i virus vengono distribuiti in file allegati a lettere presumibilmente provenienti da Rostelecom, in cui un dipendente presumibilmente invia una fattura per il pagamento. Spesso le stesse lettere fraudolente cominciavano ad arrivare per conto di Sberbank, così come degli ufficiali giudiziari. Per evitare di diventare vittima di aggressori, dovresti guardare attentamente dove porta il collegamento nella lettera e quale estensione ha il file allegato alla lettera. Bene, è anche importante, almeno a volte, effettuare copie di backup di documenti importanti su supporti rimovibili separati.

Ciò significa che ora tutti i database delle organizzazioni attaccate sono bloccati? Gli aggressori saranno in grado di usarli per i propri scopi? I dati personali di questi database saranno interessati?
Penso che, ovviamente, non valga la pena parlare di blocco del lavoro: molto probabilmente si tratta di un problema dei singoli luoghi di lavoro. Tuttavia, il fatto che i dipendenti di vari reparti utilizzino i computer di lavoro non solo per lavorare su Internet è alquanto allarmante. È del tutto possibile che in questo modo vengano compromesse le informazioni riservate dei loro clienti - nel caso delle organizzazioni commerciali, così come grandi quantità di dati personali - nel caso dei dipartimenti governativi. Si spera che tali informazioni non siano state elaborate su questi computer.

La situazione influenzerà gli abbonati MegaFon? È pericoloso utilizzare Internet mobile adesso?
Molto probabilmente no, poiché gli elementi infrastrutturali della rete sono sicuramente protetti da questo tipo di attacchi. Inoltre, con un alto grado di probabilità possiamo dire che questo virus è progettato per le vulnerabilità del sistema operativo prodotto da Microsoft e che la stragrande maggioranza delle apparecchiature di rete è controllata dal proprio sistema operativo o dai sistemi operativi della famiglia Linux.

Cosa succede quando un virus entra in un sistema? Come puoi sapere se il tuo computer è infetto?
Molto spesso, l'infezione e la fase attiva del virus, la crittografia dei dati, si manifestano sotto forma di una significativa riduzione delle prestazioni del computer. Ciò è una conseguenza del fatto che la crittografia è un processo estremamente dispendioso in termini di risorse. Ciò può essere notato anche quando vengono visualizzati file con un'estensione sconosciuta, ma di solito a questo punto è troppo tardi per intraprendere qualsiasi azione.

Sarà possibile recuperare i dati bloccati?
Spesso è impossibile ripristinare. In precedenza, la chiave era la stessa per tutte le persone infette, ma dopo che il virus è stato catturato e decrittografato e i codici standard sono diventati ampiamente conosciuti (possono essere trovati sui forum dei produttori di software antivirus), gli aggressori hanno iniziato a crittografare le informazioni con un nuova chiave ogni volta. A proposito, i virus utilizzano una versione complessa della cifratura: molto spesso si tratta di crittografia asimmetrica, e violare una tale cifratura è molto difficile, estremamente dispendioso in termini di tempo e risorse, il che in realtà diventa impossibile.

Per quanto tempo il virus si diffonderà su Internet?
Penso che finché i suoi autori non lo distribuiranno. E questo accadrà finché i distributori non verranno catturati dalle forze dell'ordine o finché gli utenti non smetteranno di aprire e-mail contenenti virus e inizieranno a essere più attenti alle loro azioni su Internet.

Grigorij Sablin, analista di virus, esperto nel campo della sicurezza informatica presso l'Università ITMO, vincitore di concorsi internazionali sulla protezione delle informazioni informatiche (attenzione: vocabolario da programmatore!).

Gli aggressori sfruttano una vulnerabilità nel protocollo SMB MS17_010: la patch è già sui server Microsoft. Coloro che non hanno effettuato l'aggiornamento potrebbero essere soggetti a distribuzione. Ma possiamo dire che la colpa è di questi stessi utenti: hanno utilizzato software piratato o non hanno aggiornato Windows. Io stesso sono interessato a come si svilupperà la situazione: c'è stata una storia simile con il bug MS08_67, poi è stato utilizzato dal worm Kido e poi anche molte persone sono state infettate. Cosa posso consigliare ora: devi spegnere il computer o aggiornare Windows. Puoi aspettarti che molte aziende antivirus competano per il diritto di rilasciare un'utilità di decrittazione. Se riusciranno a farlo, sarà una brillante mossa di pubbliche relazioni, nonché un’opportunità per guadagnare bei soldi. Non è un dato di fatto che sarà possibile ripristinare tutti i file bloccati. Questo virus può penetrare ovunque perché molti computer non sono ancora aggiornati. A proposito, questo exploit è stato preso da un archivio "trapelato" dalla National Security Agency (NSA) degli Stati Uniti, cioè questo è un esempio di come i servizi di intelligence possono agire in qualsiasi situazione di emergenza.

Secondo il servizio stampa dell'Università ITMO

Continua la sua marcia opprimente su Internet, infettando computer e crittografando dati importanti. Come proteggersi dal ransomware, proteggere Windows dal ransomware: sono state rilasciate patch per decrittografare e disinfettare i file?

Nuovo virus ransomware 2017 Wanna Cry continua a infettare i PC aziendali e privati. U I danni derivanti dall’attacco del virus ammontano a 1 miliardo di dollari. In 2 settimane, il virus ransomware ha infettato almeno 300mila computer, nonostante gli avvertimenti e le misure di sicurezza.

Virus ransomware 2017, che cos'è?- di norma, puoi "riprendere" sui siti apparentemente più innocui, ad esempio i server bancari con accesso utente. Una volta sul disco rigido della vittima, il ransomware “si deposita” nella cartella di sistema System32. Da lì il programma disabilita immediatamente l'antivirus e va in "esecuzione automatica"" Dopo ogni riavvio, il ransomware viene eseguito nel registro, iniziando il suo lavoro sporco. Il ransomware inizia a scaricare copie simili di programmi come Ransom e Trojan. Succede anche spesso autoreplicazione del ransomware. Questo processo può essere momentaneo o richiedere settimane prima che la vittima si accorga che qualcosa non va.

Il ransomware spesso si maschera da normali immagini o file di testo, ma l'essenza è sempre la stessa - questo è un file eseguibile con estensione .exe, .drv, .xvd; A volte - librerie.dll. Molto spesso, il file ha un nome del tutto innocuo, ad esempio " documento. doc", O " immagine.jpg", dove l'estensione è scritta manualmente, e il vero tipo di file è nascosto.

Una volta completata la crittografia, l'utente vede, invece dei file familiari, una serie di caratteri "casuali" nel nome e all'interno e l'estensione cambia in una precedentemente sconosciuta - .NO_MORE_RANSOM, .xdata e altri.

Wanna Cry ransomware virus 2017 – come proteggersi. Vorrei subito notare che Wanna Cry è piuttosto un termine collettivo per tutti i virus di crittografia e ransomware, poiché recentemente ha infettato i computer più spesso. Quindi ne parleremo Proteggiti dal ransomware Ransom Ware, di cui ce ne sono moltissimi: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Come proteggere Windows dal ransomware.EternalBlue tramite protocollo porta SMB.

Proteggere Windows dal ransomware 2017 – regole di base:

  • Aggiornamento di Windows, passaggio tempestivo a un sistema operativo con licenza (nota: la versione XP non viene aggiornata)
  • aggiornamento dei database antivirus e dei firewall su richiesta
  • estrema attenzione durante il download di file (i graziosi "sigilli" possono comportare la perdita di tutti i dati)
  • Backup di informazioni importanti su supporti rimovibili.

Virus ransomware 2017: come disinfettare e decrittografare i file.

Affidandoti al software antivirus, puoi dimenticarti del decryptor per un po'. Nei laboratori Kaspersky, il Dott. Web, Avast! e altri antivirus per ora non è stata trovata alcuna soluzione per il trattamento dei file infetti. Al momento è possibile rimuovere il virus utilizzando un antivirus, ma non esistono ancora algoritmi per riportare tutto “alla normalità”.

Alcuni provano a utilizzare decryptor come l'utilità RectorDecryptor, ma questo non aiuterà: non è stato ancora compilato un algoritmo per decrittografare i nuovi virus. Inoltre non è assolutamente noto come si comporterà il virus se non viene rimosso dopo aver utilizzato tali programmi. Spesso ciò può comportare la cancellazione di tutti i file, come avvertimento per coloro che non vogliono pagare gli aggressori, gli autori del virus.

Al momento, il modo più efficace per recuperare i dati persi è contattare il supporto tecnico. supporto da parte del fornitore del programma antivirus utilizzato. Per fare ciò, dovresti inviare una lettera o utilizzare il modulo di feedback sul sito Web del produttore. Assicurati di aggiungere il file crittografato all'allegato e, se disponibile, una copia dell'originale. Ciò aiuterà i programmatori a comporre l'algoritmo. Sfortunatamente, per molti, l'attacco di un virus è una completa sorpresa e non viene trovata alcuna copia, il che complica notevolmente la situazione.

Metodi cardiaci per il trattamento di Windows dal ransomware. Sfortunatamente, a volte è necessario ricorrere alla formattazione completa del disco rigido, il che comporta un cambio completo del sistema operativo. Molti penseranno di ripristinare il sistema, ma questa non è un'opzione: anche il "rollback" eliminerà il virus, ma i file rimarranno comunque crittografati.

Leggi anche:
Come bloccare le chiamate in arrivo da chiamanti sconosciuti e numeri nascosti su iPhone
Come bloccare le chiamate in arrivo da chiamanti sconosciuti e numeri nascosti su iPhone
Quali azioni si verificano con un'unità flash?
Quali azioni si verificano con un'unità flash?
Su