Как защититься от вируса wanna cry. Вины Microsoft нет. WannaCry — горе на голову Microsoft или случайный «пиар. Вирус WannaCry: симптомы, принцип действия, способы защиты Вирус wanna cry описание

Сбора информации.

12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.

Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.

Данная уязвимость закрывается патчем MS17-010 (Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)

Скачать исправление безопасности.

Как работает Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for "@[email protected]"

При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО

В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,

CMD/BATCH:

Icacls . /grant Everyone:F /T /C /Q

Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
А так же пытается завершить следующие процессы:

CMD/BATCH:

Taskkill.exe /f /im mysqld.exe taskkill.exe /f /im sqlwriter.exe taskkill.exe /f /im sqlserver.exe taskkill.exe /f /im MSExchange* taskkill.exe /f /im Microsoft.Exchange.*

Это позволит зашифровать базы данных.

Вымогатель шифрует файлы со следующими расширениями

Код:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного

После шифрования файлов каталоге добавляются два файла:

• @[email protected] - сообщение вымогателя
• @[email protected] - дешифровщик

CMD/BATCH:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.

Как предотвратить заражение шифровальщиком-вымогателем?

1. Абсолютной защиты не существует.
2. Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
3. Используйте антивирус или будьте готовы к ликвидации последствий.
4. Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
5. Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.

На чтение 9 мин. Просмотров 106 Опубликовано 31.05.2017

Всем привет! Совсем недавно, интернет взволновало событие, от которого пострадали компьютеры многих компаний и частных пользователей. Всему виной появившийся вирус Wanna Cry, который за короткое время молниеносно проник и заразил огромное количество компьютеров в разных странах мира. На данный момент распространение вируса снизилось, но не остановилось полностью. Из-за этого, пользователи периодически попадаются в его ловушку и не знают, что делать, так как не все антивирусные программы способны его обезвредить. По предварительным данным, атаке подверглись более 200 тысяч компьютеров по всему миру. Вирус Wanna Cry по праву можно считать самой серьезной угрозой текущего года, и возможно ваш компьютер будет следующим на его пути. Поэтому, давайте подробно рассмотрим, как данный вредоносный код распространяется и каким образом можно с ним бороться.

Что за злодей вирус Wanna Cry?

«Вона край», так еще называют Российские пользователи данный вирус, относится к виду вредоносного ПО, которое поселяется на компьютере как троян и начинает вымогать деньги у пользователя ПК. Принцип его работы такой: на рабочем столе компьютера появляется баннер, который блокирует всю работу пользователя и предлагает ему отправить платное СМС сообщение, чтобы убрать блокировку. Если пользователь откажется платить деньги, информация на компьютере будет зашифрована без возможности восстановления. Как правило, если не предпринять никаких действий, можно попрощаться со всей информацией, хранящейся на жестком диске.

По сути, вирус Wanna Cry можно отнести к группе вирусов, блокеров-вымогателей, которые периодически треплют нервы многим юзерам.

Как работает новый вредитель?

Попадая на компьютер, вона край быстро шифрует информацию, находящуюся на жестком диске.

После этого, на рабочем столе появляется специальное сообщение, в котором пользователю предлагается заплатить 300 американских долларов, за то, чтобы программа расшифровала файлы. Если пользователь будет долго думать, и деньги не поступят на специальный электронный кошелек Bitcoin, то сумма выкупа удвоится и придется выложить уже 600 долларов, что на наши деньги около 34000 тысяч рублей, приличная сумма, неправда ли?

По прошествии семи дней, если пользователь не отправит вознаграждение для расшифровки файлов, эти файлы будут удалены вымогателем без возможности восстановления.

Вирус Wanna Cry умеет работать практически со всеми современными типами файлов. Вот малый список расширений, которые находятся в зоне риска: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Как видите, в этом небольшом списке, есть все популярные файлы, которые способен зашифровать вирус.

Кто же создатель вируса Wanna Cry?

По информации агентства национальной безопасности Соединенных Штатов Америки ранее был обнаружен программный код под названием «Eternal Blue», правда информация о данном коде была скрыта, для использования в личных интересах. Уже в апреле текущего года, сообщество хакеров обнародовало информацию о данном эксплойте.

Скорее всего, создатель вона край использовал данный код для написания очень эффективного вируса. На данный момент, еще не установлено, кто является главным автором вымогателя.

Как распространяется и попадает на компьютер вирус Wanna Cry?

Если вы еще не попались в ловушку вируса Wanna Cry, то будьте внимательны. Распространяется он, чаще всего, посредством электронных писем с вложениями.

Представим такую ситуацию! Вам приходит электронное сообщение, возможно, даже от известного вам пользователя, которое содержит аудиозапись, видео клип либо фото, открыв письмо пользователь с радостью кликает по вложению, не замечая тот факт, что файл имеет расширение exe. То есть по сути, юзер сам запускает установку программы, в следствии чего происходит инфицирование файлов компьютера и при помощи вредоносного кода происходит загрузка вируса, который шифрует данные.

Обратите внимание! Заразить компьютер блокером «вона край» вы можете и при скачивании файлов с торрент-трекеров или же получив личное сообщение в социальных сетях или мессенджерах.

Как обезопасить компьютер от вируса Wanna Cry?

Наверное, в вашей голове возник резонный вопрос: «Как защититься от вируса Wanna Cry?»

Здесь я вам могу предложить несколько основных способов:

• Так как разработчики Майкрософт всерьез взволновались от действий вируса, то незамедлительно выпустили обновление для всех версий операционной системы Windows. Поэтому, чтобы обезопасить свой ПК от данного вредителя, необходимо в срочном порядке скачать и установить заплатку системы безопасности;
• Внимательно следите за тем, какие письма вам приходят на email. Если вам пришло письмо с вложением, даже от знакомого вам адресата, то обратите внимание на расширение файла. Ни при каких обстоятельствах, не открывайте скаченные файлы с расширением вида: .exe; .vbs; .scr . Так же расширение может быть замаскировано и иметь такой вид: avi.exe; doc.scr ;
• Чтобы не попасться в лапы вируса, в настройках операционной системы включите показ расширений файлов. Это позволит вам видеть, какой тип файлов вы пытаетесь запустить. Так же будет хорошо видно, тип замаскированных файлов;
• Установка, даже самого л скорее всего не спасет ситуацию, так как вирус использует уязвимости операционной системы для доступа к файлам. Поэтому, первым делом, установите все обновления для Windows, а уже после ставьте ;
• Если есть возможность, перенесите все важные данные на внешний жесткий диск. Это обезопасит вас от потери информации;
• Если фортуна повернулась к вам пятой точкой, и вы попали под действие вируса Wanna Cry, то для того, чтобы от него избавиться переустановите операционную систему;
• Держите вирусные базы ваших установленных антивирусов в актуальном состоянии;
• Рекомендую скачать и установить бесплатную утилиту Kaspersky Anti-Ransom ware. Данная утилита позволяет в режиме реального времени, защитить компьютер от различных блокеров-вымогателей.

Патч Windows от Wanna Cry, чтобы компьютер не болел.

Если на ваш компьютер установлена операционная система:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Установите данный патч, скачать вы его можете по ссылке на официальном сайте Майкрософт.

Для всех остальных версий операционной системы Windows, достаточно будет установить все доступные обновления. Как раз с этими обновлениями вы закроете дыры в системе безопасности Windows.

Удаляем вирус Wanna Cry.

Для того, чтобы удалить вымогатель «вона край», попробуйте воспользоваться одной из самых лучших утилит удаления вредоносных программ.

Обратите внимание! После работы антивирусной программы, зашифрованные файлы не будут дешифрованы. И скорее всего вам придется их удалить.

Есть ли возможность самостоятельно расшифровать файлы после Wanna Cry.

Как правило, блокеры-вымогатели, к которым относится наш «вона край» шифруют файлы с применением ключей 128 и 256 бит. При этом, ключ для каждого компьютера уникален и не повторяется нигде. Поэтому, если попытаться расшифровать такие данные в домашних условиях, то вам понадобится не одна сотня лет.

На данный момент, в природе не существует ни одного дешифратора Wanna Cry. Следовательно, ни один пользователь не сможет расшифровать файлы после работы вируса. Поэтому, если вы еще не стали его жертвой, рекомендую позаботиться о безопасности своего компьютера, если же вам не повезло, то есть несколько вариантов решения проблемы:

• Заплатить выкуп. Здесь вы отдаете деньги на свой страх и риск. Так как вам никто не гарантирует, что после того как вы отправите деньги, программа сможет обратно расшифровать все файлы;
• Если вирус не обошел стороной ваш компьютер, то можно просто отключить жесткий диск и положить его на дальнюю полку до лучших времен, когда появится дешифратор. На данный момент, его не существует, но вероятнее всего, он появится в скором будущем. Хочу вам сказать по секрету, что дешифраторы разрабатывает Лаборатория Касперского и выкладывает на сайт No Ramsom;
• Для пользователей лицензионного антивируса Касперского, существует возможность подать заявку на расшифровку файлов, которые зашифровал вирус Wanna Cry;
• Если на жестком диске ПК нет ничего важного, то смело его форматируйте и устанавливайте чистую операционную систему;

Вирус Wanna Cry в России.

Представляю график, на котором отлично видно, что самое большое количество компьютеров попало под действие вируса на территории Российской Федерации.

Вероятнее всего, это произошло от того, что российские пользователи не особо любят покупать лицензионное ПО и чаще всего используют пиратские копии операционной системы Windows. Из-за этого, система не обновляется, и остается очень уязвимой для вирусов.

Не обошел стороной такие компьютеры и вирус Wanna Cry. Рекомендую устанавливать лицензионную версию операционной системы, а также не выключать автоматическое обновление.

Кстати, не только компьютеры частных пользователей пострадали от блокера «вона край», но и государственные организации такие как: МВД, МЧС, Центробанк, а также крупные частные компании такие как: оператор сотовой связи «Мегафон», «Сбербанк России» и «РЖД».

Как я уже говорил выше, от проникновения вируса, можно было уберечься. Так еще в марте текущего года, компания Майкрософт выпустила обновления системы безопасности Windows. Правда не все пользователи его установили, из-за чего и попали в ловушку.

Если вы используете старую версию операционной системы, то непременно скачайте и установите патч, о котором я вам писал в пункте выше.

Подведем итоги.

В сегодняшней статье мы с вами поговорили о новом вирусе Wanna Cry. Я постарался максимально подробно рассказать, что из себя представляет данный вредитель и как можно от него уберечься. Так же теперь вы знаете где можно скачать патч, который закроет дыры в системе безопасности Windows.

Если компьютер с операционной системой Windows не перезагружался, то данные да нем можно сохранить минуя выкуп, требуемый вирусом WannaCry. Ключ к решению содержится в самой операционной системе, — заявляют специалист по интернет-безопасности Quarkslab Адриен Гине, всемирно известный хакер Мэтт Сюиш и фрилансер Бенжамен Дельпи. Сама система предотвращает уничтожение файлов по истечению срока, назначенного для уплаты выкупа. Этот метод используется во всех версиях Windows. Новый инструмент для сохранения данных специалисты назвали Wanakiwi . В своем блоге Мэтт Сюиш опубликовал подробности применения открытого способа борьбы с вирусом, описав все технические детали.

Не все файлы не восстанавливаются

Это объясняет, почему были утверждения, что некоторые инструменты доступны для расшифровки всех файлов, заблокированных WannaCry. К сожалению, из нашего анализа того, как работает это вымогательство, кажется, что только несколько файлов, зашифрованных демо-ключом, могут быть расшифрованы инструментом.

Но может быть какая-то надежда. Файлы, хранящиеся на Рабочем столе, Моих документах или на любых съемных дисках компьютера во время заражения, перезаписываются случайно сгенерированными данными и удаляются. Это означает, что восстановить их с помощью средства восстановления файлов или восстановления диска невозможно.

Однако из-за возможных слабых мест в вредоносном ПО можно восстановить другие зашифрованные файлы в системе, когда они были сохранены за пределами этих трех местоположений, используя средство восстановления диска, так как большинство файлов перемещаются во временную папку и Затем, как правило, удаляется, но не перезаписывается с помощью очистителя. Однако коэффициент восстановления может отличаться в разных системах, поскольку удаленный файл может быть перезаписан другими операциями с дисками.

Короче говоря, можно восстановить некоторые файлы, которые были зашифрованы с помощью WannaCrypt, но не заплатили выкуп, однако восстановление всех файлов без резервного копирования в настоящее время представляется невозможным.

В качестве примечания по безопасности, будьте осторожны с любыми сервисами, предлагающими расшифровать все файлы и т. Д., Так как эти расшифровщики вполне могут быть скрыты вредоносными программами.

Мы проверили восстановление файлов с помощью средства восстановления диска Disk Drill , на скриншоте ниже показаны удаленные файлы, которые были обнаружены и восстановлены с помощью этого инструмента:

Иногда создатели программ-вымогателей допускают ошибки в коде. Эти ошибки могут помочь пострадавшим вновь получить доступ к своим файлам после заражения. В нашей статье кратко описываются несколько ошибок, допущенных разработчиками вымогателя WannaCry.

Ошибки в логике удаления файла

Когда Wannacry шифрует файлы на компьютере жертвы, он читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования он перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. Логика этого удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

При расположении файлов на системном диске:

Если файл находится в «важной» папке (с точки зрения разработчиков вымогателя, например на рабочем столе или в папке «Документы»), то перед его удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

Если файл хранится вне «важных» папок, то оригинальный файл будет перемещен в папку %TEMP%\%d.WNCRYT (где %d – это числовое значение). Такой файл содержит первоначальные данные, поверх которых ничего не пишется, – он просто удаляется с диска. Поэтому существует высокая вероятность, что его можно будет восстановить при помощи программ восстановления данных.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

При расположении файлов на прочих (несистемных) дисках:

• Вымогатель создает папку «$RECYCLE» и задает ей атрибуты «скрытая» и «системная». В результате папка становится невидимой в Проводнике Windows, если конфигурация Проводника задана по умолчанию. По плану оригинальные файлы после шифрования будут перемещены в эту папку.

Процедура, определяющая временную директорию для хранения оригинальных файлов перед удалением

• Однако из-за ошибок синхронизации в коде вымогателя оригинальные файлы во многих случаях остаются в той же директории и не перемещаются в папку $RECYCLE.
• Оригинальные файлы удаляются небезопасно. Этот факт делает возможным восстановление удаленных файлов при помощи программ восстановления данных.

Оригинальные файлы, которые можно восстановить с несистемного диска

Процедура, генерирующая временный путь для оригинального файла

Участок кода, вызывающий описанные выше процедуры

Ошибка обработки файлов с защитой от записи

Анализируя WannaCry, мы также обнаружили, что в вымогателе допущена ошибка в обработке файлов с защитой от записи. Если на зараженном компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригинальные файлы только получат атрибут «скрытый». В таком случае их легко найти и восстановить их нормальные атрибуты.

Оригинальные файлы с защитой от записи не зашифровываются и никуда не перемещаются

Выводы

В результате проведенного нами глубокого исследования данного вымогателя становится понятно, что его разработчики допустили множество ошибок, а качество кода довольно низкое, как мы отметили выше.

Если ваш компьютер был заражен вымогателем WannaCry, существует большая вероятность, что вы сможете восстановить многие из зашифрованных файлов. Для этого можно воспользоваться бесплатными утилитами для восстановления файлов.

12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на.WNCRY.

Компьютеры, заражённые WannaCry, оказываются заблокированы окном с сообщением, где говорится, что у пользователя есть 3 дня на выплату выкупа (обычно эквивалент 300 долларов США в биткоинах), после чего цена будет удвоена. Если не заплатить деньги в течение 7 дней, файлы якобы будет невозможно восстановить.

WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности. Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.

WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены. Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран. Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.

По данным сайта The Intercept , WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.

Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область.

Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу). WanaCrypt0r - усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.

Известно , что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно. Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.

12 мая Microsoft выпустила патч безопасности для обнаружения и обезвреживания вируса Ransom:Win32/Wannacrypt. Его можно установить через «Центр обновления Windows». Чтобы обезопасить свой компьютер от WannaCry, необходимо установить все обновления Windows и убедиться, что работает встроенный антивирус Windows Defender. Кроме того, будет не лишним скопировать все ценные данные в облако. Даже если они зашифруются на вашем компьютере, вы всё равно сможете восстановить их из облачного хранилища или его корзины, куда попадают удалённые файлы.