• Vairāk nekā 200 000 datoru jau ir inficēti!

Galvenie uzbrukuma mērķi bija vērsti pret korporatīvo sektoru, kam sekoja telekomunikāciju uzņēmumi Spānijā, Portugālē, Ķīnā un Anglijā.

• Lielākais trieciens tika dots Krievijas lietotājiem un uzņēmumiem. Tostarp Megafon, Krievijas dzelzceļš un, pēc neapstiprinātas informācijas, Izmeklēšanas komiteja un Iekšlietu ministrija. Par uzbrukumiem viņu sistēmām ziņoja arī Sberbank un Veselības ministrija.

Par datu atšifrēšanu uzbrucēji pieprasa 300 līdz 600 dolāru izpirkuma maksu bitkoinos (apmēram 17 000-34 000 rubļu).

Windows 10 versijas 1909 atjauninājums

Interaktīvā infekcijas karte (NOKLIKŠĶINIET UZ KARTES)
Izpirkuma logs
Šifrē failus ar tālāk norādītajiem paplašinājumiem

Neskatoties uz to, ka vīruss ir vērsts uz korporatīvo sektoru, vidusmēra lietotājs arī nav imūna pret WannaCry iespiešanos un iespējamu piekļuves zaudēšanu failiem.

• Norādījumi datora un tajā esošo datu aizsardzībai pret infekciju:

1. Instalējiet lietojumprogrammu Kaspersky System Watcher, kas ir aprīkota ar iebūvētu funkciju, lai atsauktu izmaiņas, ko izraisījušas šifrētāja darbības, kurām izdevās apiet drošības pasākumus.

2. Kaspersky Lab pretvīrusu programmatūras lietotājiem ir ieteicams pārbaudīt, vai ir iespējota funkcija “System Monitor”.

3. Pretvīrusu programmas lietotāji no ESET NOD32 operētājsistēmai Windows 10 ir ieviesti, lai pārbaudītu jaunus pieejamos OS atjauninājumus. Ja jūs jau iepriekš parūpējāties un esat to iespējojis, tad tiks instalēti visi nepieciešamie jaunie Windows atjauninājumi un jūsu sistēma būs pilnībā aizsargāta no šī WannaCryptor vīrusa un citiem līdzīgiem uzbrukumiem.

4. Tāpat ESET NOD32 produktu lietotājiem programmā ir tāda funkcija kā vēl nezināmu apdraudējumu noteikšana. Šīs metodes pamatā ir uzvedības, heiristisko tehnoloģiju izmantošana.

Ja vīruss uzvedas kā vīruss, visticamāk, tas ir vīruss.

Kopš 12. maija mākoņsistēmas ESET LiveGrid tehnoloģija ļoti veiksmīgi ir atvairījusi visus šī vīrusa uzbrukumus, un tas viss notika vēl pirms parakstu datu bāzes atjaunošanas.

5. ESET tehnoloģijas nodrošina drošību arī ierīcēm, kurās darbojas mantotās sistēmas Windows XP, Windows 8 un Windows Server 2003 ( Mēs iesakām pārtraukt lietot šīs novecojušas sistēmas). Tā kā šīm operētājsistēmām radās ļoti augsts draudu līmenis, Microsoft nolēma izlaist atjauninājumus. Lejupielādējiet tos.

6. Lai samazinātu datora kaitējuma draudus, jums steidzami jāatjaunina operētājsistēmas Windows 10 versija: Sākt - Iestatījumi - Atjaunināšana un drošība - Pārbaudiet atjauninājumus (citos gadījumos: Sākt - Visas programmas - Windows atjaunināšana - Meklēt atjauninājumus - Lejupielādēt un instalēt).

7. Instalējiet oficiālo Microsoft ielāpu (MS17-010), kas novērš SMB servera kļūdu, caur kuru vīruss var iekļūt. Šis serveris ir iesaistīts šajā uzbrukumā.

8. Pārliecinieties, vai datorā darbojas un darbojas visi pieejamie drošības rīki.

9. Skenējiet visu sistēmu, vai tajā nav vīrusu. Atklājot ļaunprātīgu uzbrukumu, sauc MEM:Trojan.Win64.EquationDrug.gen, restartējiet sistēmu.

Un vēlreiz iesaku pārbaudīt, vai ir instalēti ielāpi MS17-010.

Šobrīd Kaspersky Lab, ESET NOD32 un citu antivīrusu produktu speciālisti aktīvi strādā pie failu atšifrēšanas programmas rakstīšanas, kas palīdzēs inficēto datoru lietotājiem atjaunot piekļuvi failiem.

2017. gada 1. un 2. maijā datoriem, kuros darbojas operētājsistēma Windows, notika liela mēroga vīrusu uzbrukums. Krievijā vien tika inficēti aptuveni 30 000 datoru. Starp upuriem bija ne tikai parastie lietotāji, bet arī daudzas organizācijas un valsts aģentūras. Saskaņā ar tīkla ziņojumiem Krievijas Federācijas Iekšlietu ministrijas Konstitucionālā tiesa un Magathon tīkls bija daļēji inficēti. Tāpat no WannaCry uzbrukuma cieta vairākas citas, mazāk zināmas organizācijas, jeb kā biežāk dēvē – WCry. Pagaidām nav zināms, kā izspiedējvīruss iekļuva šādās aizsargātās ierīcēs. Nav ziņots, vai tas bija kāda lietotāja kļūdas rezultāts, vai arī tā ir vispārēja ministrijas tīkla ievainojamība. Pirmā informācija par RuNet parādījās Kaspersky vietnē (veidlapā), kur notika aktīva diskusija par jauno vīrusu.

Kas tas par vīrusu?

Pēc iekļūšanas datorā vīruss izpakās, instalējot savus sistēmas šifrēšanas kodus lietotāja datiem, un fonā sāk šifrēt visu datorā esošo informāciju ar saviem faila nosaukums.wncry tipa kodiem. Lūk, kas notiek pēc tam, kad datorā tiek uztverts vīruss:

• Tūlīt pēc ieiešanas sistēmā vīruss sāk pilnībā kontrolēt sistēmu, bloķējot jebkuras programmatūras palaišanu pat bez instalēšanas,
• Antivīrusi un utilītas, kurām nav nepieciešama instalēšana un kuras tiek palaistas uzreiz pēc diska pievienošanas sistēmai, arī nedod nekādu rezultātu un vienkārši nesākas,
• Visi USB porti un diskdziņi pārstāj darboties,
• Ekrānu bloķēs Wana DecryptOr 2.0 reklāmkarogs, informējot, ka jūsu dators ir inficēts ar vīrusu, visi tajā esošie dati ir šifrēti un jums ir jāmaksā par izpirkuma programmatūru.

Vīrusa īpašnieki piedāvā lietotājam uz savu kontu pārskaitīt summu, kas līdzvērtīga USD 300 bitkoinos. Ir arī informācija, ka nesamaksājot nepieciešamo summu 3 dienu laikā, maksājuma summa tiks dubultota. Ja maksājums netiks saņemts nedēļas laikā, vīruss izdzēsīs no datora visus lietotāja datus. Spriežot pēc informācijas no dažiem mūsu lietotājiem, šī laika shēma nav vienāda visiem, un ir ierīces, kurās maksājuma termiņš par izpirkuma programmatūru ir 14 dienas.

Kā pasargāt sevi no vīrusa.

Nav jēgas paniku, vīruss nav jauns un no tā nevar pasargāt. Šis ir parasts šifrētājs, ar kura analogiem mēs jau esam saskārušies vairākas reizes. Lai izvairītos no inficēšanās ar datorvīrusu, esiet piesardzīgs, izmantojot visu programmatūru. Mēs neiesakām atjaunināt nekādu programmatūru, pat iebūvēto programmatūru, kamēr nav precīzi noteikts, kā vīruss iekļūst sistēmā. Mēs sliecamies uzskatīt, ka vīruss datorā iekļūst caur kādas programmas ievainojamību. Un programmu ievainojamības visbiežāk parādās pēc neveiksmīgi izstrādāta atjauninājuma, kurā ir tik milzīgs “caurums”, kas ļauj vīrusiem iekļūt sistēmā. Ja jums ir pieredze un iespējas, instalējiet augstas kvalitātes trešās puses ugunsmūri un uz brīdi pastipriniet sistēmas un tīkla darbības uzraudzību.

Palīdzība upuriem

Piektdien, 12. maijā, pie mums sazinājās pastāvīgs klients dizainers ar portatīvo datoru, kurā tika glabāti viņa maketi, avoti un citi grafiskie faili. Viņa datori bija inficēti ar WannaCryptor vīrusu. Tika veikti vairāki “eksperimenti”, kas deva rezultātus! Lūk, kas mums palīdzēja:

• Mēs izjaucam datoru, izņēmām cieto disku ar datiem,
• Savienoja disku ar iMac,
• Pārmeklējot atšifrētājus, mēs atradām vairākus, kas palīdzēja iegūt dažus datus no diska D.
• Pēc tam klients nolēma pārinstalēt sistēmu un dzēst atlikušos datus,
• Katram gadījumam uztaisījām sistēmas attēlu savā atmiņas ierīcē, tiklīdz parādīsies problēmas risinājums, saglabāsim atlikušos datus.

Dārgie draugi, ja esat kļuvuši par šī vīrusa upuri, lūdzu, sazinieties ar mums, mēs centīsimies palīdzēt. Mēs veicam eksperimentus bez maksas) Un šeit mēs jums sīki pastāstīsim, kā. Cīnīsimies ar ļaunumu kopā!

Facebook

Twitter

VK

Odnoklassniki

Telegramma

Dabaszinātnes

WannaCry ransomware vīruss: ko darīt?

Pasauli ir pārņēmis jauna šifrēšanas vīrusa WannaCry (citi nosaukumi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) vilnis, kas šifrē dokumentus datorā un izspiež 300-600 USD par to atšifrēšanu. Kā noteikt, vai jūsu dators ir inficēts? Kas jādara, lai nekļūtu par upuri? Un ko darīt, lai atgūtos?

Vai jūsu dators ir inficēts ar Wana Decryptor izspiedējvīrusu?

Pēc Jēkaba ​​Krusteka () no Avast teiktā, jau ir inficēti vairāk nekā 100 tūkstoši datoru. 57% no tiem atrodas Krievijā (vai tā nav dīvaina selektivitāte?). ziņo par vairāk nekā 45 tūkstošu infekciju reģistrāciju. Tiek inficēti ne tikai serveri, bet arī parastu cilvēku datori, kuros instalētas operētājsistēmas Windows XP, Windows Vista, Windows 7, Windows 8 un Windows 10. Visiem šifrētajiem dokumentiem nosaukumā ir prefikss WNCRY.

Aizsardzība pret vīrusu tika atrasta jau martā, kad Microsoft publicēja “ielāpu”, taču, spriežot pēc epidēmijas uzliesmojuma, daudzi lietotāji, tostarp sistēmas administratori, ignorēja datora drošības atjauninājumu. Un notika notikušais – Megafon, Krievijas dzelzceļš, Iekšlietu ministrija un citas organizācijas strādā pie savu inficēto datoru ārstēšanas.

Ņemot vērā epidēmijas globālo mērogu, 12. maijā Microsoft publicēja aizsardzības atjauninājumu ilgstoši neatbalstītiem produktiem – Windows XP un Windows Vista.

Varat pārbaudīt, vai jūsu dators ir inficēts, izmantojot pretvīrusu utilītu, piemēram, Kaspersky vai (ieteicams arī Kaspersky atbalsta forumā).

Kā nekļūt par Wana Decryptor izspiedējvīrusa upuri?

Pirmā lieta, kas jums jādara, ir aizvērt caurumu. Lai to izdarītu, lejupielādējiet

12. maijā kļuva zināms par šifrēšanas vīrusu, kas izplatās rekordātrumā: vienā nedēļas nogalē tas inficējis vairāk nekā 200 tūkstošus datoru 150 valstīs. Pēc tam vīrusa izplatība tika apturēta, bet dienas laikā parādījās vēl vairākas vīrusa versijas un tā izplatība turpinās. Tāpēc mēs publicējam atbildes uz dažiem jautājumiem, kas vispārīgi pateiks, kas tas ir par vīrusu, no kurienes tas nāca un palīdzēs aizsargāt datoru.

Kuzmičs Pāvels Aleksejevičs, ITMO universitātes Datoru kriminālistikas laboratorijas direktors.

Vai vīruss inficē atsevišķu lietotāju datorus un citas ierīces?
Jā, vīruss var inficēt arī lietotāju datorus. Visticamāk, to organizāciju darbinieki, kurās tika konstatēta infekcija, izmantoja datorus pasta saņemšanai un “sērfošanai” internetā un, nepārliecinoties par saņemto vēstuļu un to atvērto vietņu drošību, lejupielādēja tajās ļaunprātīgu programmatūru. Šo krāpšanas metodi nevar saukt par jaunu: tā saukto šifrēšanas vīrusu problēma ir aktuāla jau vairākus gadus, un cenu 300 USD var uzskatīt par diezgan "humānu". Tātad pirms pusotra gada viena organizācija sazinājās ar mūsu laboratoriju, no kuras uzbrucēji pieprasīja 700 USD tajos pašos bitkoinos par tikai viena faila atšifrēšanu ar klientiem.

Ko darīt, lai netiktu pakļauts vīrusam?
Pirmkārt, esiet piesardzīgs, kur atrodaties internetā. Otrkārt, uzmanīgi vērojiet savu pastu un pirms vēstuļu failu atvēršanas pārliecinieties, vai tā nav krāpnieciska vēstule. Ļoti bieži vīrusi tiek izplatīti failos, kas pievienoti vēstulēm it kā no Rostelecom, kur darbinieks it kā nosūta rēķinu apmaksai. Bieži vien tās pašas krāpnieciskās vēstules sāka pienākt Sberbank, kā arī tiesu izpildītāju vārdā. Lai nekļūtu par uzbrucēju upuri, rūpīgi jāpaskatās, kur ved vēstulē esošā saite, kā arī kāds paplašinājums ir vēstulei pievienotajam failam. Ir arī svarīgi vismaz dažreiz izveidot svarīgu dokumentu dublējumkopijas atsevišķos noņemamos datu nesējos.

Vai tas nozīmē, ka visas uzbrukto organizāciju datu bāzes tagad ir bloķētas? Vai uzbrucēji varēs tos izmantot saviem mērķiem? Vai tiks ietekmēti personas dati no šīm datu bāzēm?
Domāju, ka par darba bloķēšanu, protams, nav vērts runāt: visticamāk, tā ir atsevišķu darba vietu problēma. Taču zināmā mērā satrauc fakts, ka dažādu nodaļu darbinieki darba datorus izmanto ne tikai darbam internetā. Pilnīgi iespējams, ka šādā veidā varētu tikt apdraudēta viņu klientu konfidenciālā informācija - komerciālo organizāciju gadījumā, kā arī liels personas datu apjoms - valsts departamentu gadījumā. Cerams, ka šāda informācija šajos datoros netika apstrādāta.

Vai situācija ietekmēs MegaFon abonentus? Vai tagad ir bīstami lietot mobilo internetu?
Visticamāk, nē, jo tīkla infrastruktūras elementi noteikti ir aizsargāti pret šāda veida uzbrukumiem. Turklāt ar lielu varbūtības pakāpi mēs varam teikt, ka šis vīruss ir paredzēts Microsoft ražotās operētājsistēmas ievainojamībām, un lielāko daļu tīkla iekārtu kontrolē vai nu tā operētājsistēma, vai Linux saimes operētājsistēmas.

Kas notiek, kad sistēmā iekļūst vīruss? Kā noteikt, vai jūsu dators ir inficēts?
Visbiežāk inficēšanās un vīrusa aktīvā fāze - datu šifrēšana - izpaužas kā būtiska datora veiktspējas samazināšanās. Tas ir sekas tam, ka šifrēšana ir ārkārtīgi resursietilpīgs process. To var pamanīt arī tad, kad parādās faili ar nezināmu paplašinājumu, taču parasti šajā posmā ir par vēlu veikt kādas darbības.

Vai būs iespējams atgūt bloķētos datus?
Bieži vien to nav iespējams atjaunot. Iepriekš atslēga visiem inficētajiem bija vienāda, taču pēc tam, kad vīruss tika notverts un atšifrēts, un standarta kodi kļuva plaši pazīstami (tos var atrast pretvīrusu programmatūras ražotāju forumos), uzbrucēji sāka šifrēt informāciju ar katru reizi jauna atslēga. Starp citu, vīrusi izmanto sarežģītu šifra versiju: ​​visbiežāk tā ir asimetriskā šifrēšana, un šāda šifra uzlaušana ir ļoti sarežģīta, ārkārtīgi laikietilpīga un resursietilpīga, kas faktiski kļūst neiespējama.

Cik ilgi vīruss izplatīsies internetā?
Es domāju, ka līdz tā autori to neizplatīs. Un tas notiks, kamēr izplatītājus nenoķers tiesībaizsardzības iestādes vai kamēr lietotāji pārtrauks atvērt e-pastus ar vīrusiem un sāks būt uzmanīgāki pret savām darbībām internetā.

Grigorijs Sablins, vīrusu analītiķis, ITMO universitātes informācijas drošības jomas eksperts, starptautisku konkursu uzvarētājs datorinformācijas aizsardzībā (uzmanību: programmētāju vārdnīca!).

Uzbrucēji izmanto SMB protokola MS17_010 ievainojamību — ielāps jau atrodas Microsoft serveros. Tie, kas nav atjauninājuši, var tikt pakļauti izplatīšanai. Bet, mēs varam teikt, šie lietotāji paši ir vainīgi - viņi izmantoja pirātisku programmatūru vai neatjaunināja Windows. Man pašam interesē, kā situācija attīstīsies: bija līdzīgs stāsts ar MS08_67 kļūdu, tad to izmantoja Kido tārps, un tad arī daudzi cilvēki inficējās. Ko es varu ieteikt tagad: jums ir jāizslēdz dators vai jāatjaunina Windows. Varat sagaidīt, ka daudzi pretvīrusu uzņēmumi sacentīsies par tiesībām atbrīvot atšifrēšanas utilītu. Ja viņiem tas izdosies, tas būs izcils PR gājiens, kā arī iespēja labi nopelnīt. Tas nav fakts, ka būs iespējams atjaunot visus bloķētos failus. Šis vīruss var iekļūt jebkur, jo daudzi datori vēl nav atjaunināti. Starp citu, šis eksploats tika ņemts no arhīva, kas tika “nopludināts” no ASV Nacionālās drošības aģentūras (NSA), tas ir, tas ir piemērs tam, kā izlūkdienesti var rīkoties jebkurā ārkārtas situācijā.

Saskaņā ar ITMO universitātes preses dienestu

Tā turpina savu nomācošo gājienu pa internetu, inficējot datorus un šifrējot svarīgus datus. Kā pasargāt sevi no izspiedējvīrusa, aizsargāt Windows no izspiedējvīrusa — vai ir izdoti ielāpi failu atšifrēšanai un dezinficēšanai?

Jauns ransomware vīruss 2017 Wanna Cry turpina inficēt korporatīvos un privātos datorus. U Vīrusu uzbrukuma radītie zaudējumi ir USD 1 miljards. 2 nedēļu laikā izspiedējvīruss inficējās vismaz 300 tūkstoši datoru, neskatoties uz brīdinājumiem un drošības pasākumiem.

Ransomware vīruss 2017, kas tas ir?- parasti jūs varat “paņemt” šķietami nekaitīgākajās vietnēs, piemēram, banku serveros ar lietotāja piekļuvi. Nokļūstot upura cietajā diskā, izspiedējprogrammatūra “nokārtojas” sistēmas mapē System32. No turienes programma nekavējoties atspējo pretvīrusu un ieiet "Autorun"" Pēc katras atsāknēšanas izspiedējvīrusa programmatūra iekļūst reģistrā, uzsākot savu melno darbu. Izpirkuma programmatūra sāk lejupielādēt līdzīgas tādu programmu kopijas kā Ransom un Trojan. Tā arī bieži notiek ransomware pašreplicēšana. Šis process var būt īslaicīgs vai var ilgt nedēļas, līdz cietušais pamana, ka kaut kas nav kārtībā.

Izpirkuma programmatūra bieži maskējas kā parastie attēli vai teksta faili, bet būtība vienmēr ir viena un tā pati - šis ir izpildāms fails ar paplašinājumu .exe, .drv, .xvd; Dažreiz - bibliotēkas.dll. Visbiežāk failam ir pilnīgi nekaitīgs nosaukums, piemēram, “ dokumentu. doc", vai" attēls.jpg", kur paplašinājums tiek rakstīts manuāli, un patiesais faila tips ir paslēpts.

Kad šifrēšana ir pabeigta, lietotājam pazīstamo failu vietā nosaukumā un iekšpusē tiek parādīta “nejaušas” rakstzīmju kopa, un paplašinājums tiek mainīts uz iepriekš nezināmu - .NO_MORE_RANSOM, .xdata un citi.

Wanna Cry ransomware virus 2017 – kā pasargāt sevi. Uzreiz gribu atzīmēt, ka Wanna Cry drīzāk ir kolektīvs termins visiem šifrēšanas un izspiedējvīrusiem, jo ​​pēdējā laikā tas visbiežāk ir inficējis datorus. Tātad, mēs runāsim par Aizsargājiet sevi no Ransom Ware izpirkuma programmatūras, kuru ir ļoti daudz: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kā aizsargāt Windows no izspiedējvīrusa. – EternalBlue, izmantojot SMB porta protokolu.

Windows aizsardzība pret ransomware 2017 — pamatnoteikumi:

• Windows atjaunināšana, savlaicīga pāreja uz licencētu OS (piezīme: XP versija netiek atjaunināta)
• pretvīrusu datubāzu un ugunsmūru atjaunināšana pēc pieprasījuma
• ļoti uzmanīgi, lejupielādējot failus (jaukas "plombiņas" var izraisīt visu datu zudumu)
• Svarīgas informācijas dublēšana noņemamajā datu nesējā.

Ransomware vīruss 2017: kā dezinficēt un atšifrēt failus.

Paļaujoties uz pretvīrusu programmatūru, varat kādu laiku aizmirst par atšifrētāju. Laboratorijās Kasperskis, Dr. Tīmeklis, Avast! un citi antivīrusi pagaidām netika atrasts risinājums inficēto failu apstrādei. Šobrīd vīrusu ir iespējams noņemt, izmantojot antivīrusu, taču pagaidām nav algoritmu, kas visu atgrieztu “normālā stāvoklī”.

Daži mēģina izmantot atšifrētājus, piemēram, utilītu RectorDecryptor, bet tas nepalīdzēs: vēl nav sastādīts algoritms jaunu vīrusu atšifrēšanai. Tāpat absolūti nav zināms, kā vīruss uzvedīsies, ja pēc šādu programmu izmantošanas tas netiks noņemts. Bieži vien tas var beigties ar visu failu dzēšanu – kā brīdinājumu tiem, kas nevēlas maksāt uzbrucējiem, vīrusa autoriem.

Šobrīd visefektīvākais veids, kā atgūt zaudētos datus, ir sazināties ar tehnisko atbalstu. atbalstu no izmantotās pretvīrusu programmas pārdevēja. Lai to izdarītu, jums jānosūta vēstule vai jāizmanto atsauksmju veidlapa ražotāja vietnē. Noteikti pievienojiet pielikumam šifrēto failu un, ja pieejams, oriģināla kopiju. Tas palīdzēs programmētājiem izveidot algoritmu. Diemžēl daudziem vīrusa uzbrukums ir pilnīgs pārsteigums, un kopijas netiek atrastas, kas situāciju krietni sarežģī.

Sirds metodes Windows ārstēšanai no izspiedējvīrusa. Diemžēl dažreiz jums ir jāizmanto pilnīga cietā diska formatēšana, kas nozīmē pilnīgu OS maiņu. Daudzi domās par sistēmas atjaunošanu, taču tā nav iespēja - pat “atcelšana” atbrīvos no vīrusa, taču faili joprojām paliks šifrēti.