Главная » Статьи

Как избавиться от вируса wannacry

Содержание
  1. Как защититься от вируса-шифровальщика Wanna Cry
  2. Введение
  3. Как защититься от Wanna Cry
  4. А что случилось?
  5. Ошибки СМИ
  6. Что будет дальше
  7. Кое-что ещё
  8. WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужно правильное решение для надежного бэкапа
  9. Коротко о том, что нужно знать о WannaCry
  10. Жертвы из разных индустрий — это не случайность
  11. Как распространяется вымогатель WannaCry?
  12. Особенности механизма распространения червя
  13. Если у вас нет современной системы для создания резервных копий, ваши файлы будут утеряны
  14. Как WannaCry шифрует файлы
  15. Как защитить ваши системы от атак WannaCry и других программ-вымогателей

Как защититься от вируса-шифровальщика Wanna Cry

Введение

Wanna Cry (WCry, WanaCrypt0r, Trojan-Ransom.Win32.Wanna.b и т.д.) – вирус-вымогатель, шифрующий файлы и распространяющийся по сетям, к которым компьютер подключен. Шифрованию подвергаются офисные файлы MS Excel, Word, PowerPoint, Open/Libre Office, фотографии, музыкальные и видео файлы, архивы, файлы баз данных и так далее.

За расшифровку злоумышленники требуют от 200 до 600 долларов. Расшифровать файлы, зашифрованные вирусом Wanna Cry, не получится, если после шифровки компьютер был выключен. Даже заплатив авторам WCry, файлы не расшифруются. Можно спасти хотя бы часть информации, если обратиться к специалистам по восстановлению данных, чтобы извлекли удалённые данные. Если вы опытный пользователь ПК, можете воспользоваться утилитами Wannakey (Windows XP, 2003, Vista, 2008, 7) или Wannawiki (32-битные XP, 2003, 7), которые пробуют найти ключ расшифровки. Метод сработает только в том случае, если компьютер после шифрования файлов ещё не перезагружался и процесс вируса wcry.exe не завершался. После перезагрузки/закрытия вируса ключи шифрования улетают в тартарары и файлы будут потеряны навечно.

Если вам повезло и ваш компьютер пока не заражён, не расслабляйтесь: даже при работающем антивирусе вредонос может спокойно проникнуть на компьютер, используя уязвимость в одном из компонентов Windows.

Как защититься от Wanna Cry

1. Убедитесь, что ваша Windows обновлена и обновления устанавливаются автоматически. Это не защитит ваш компьютер от вируса, если сами запустите заражённый файл, но по крайней мере вирус не перейдёт с других компьютеров из локальной сети и Интернета.

Большинство компьютерных экспертов (и не экспертов) рекомендуют поставить обновление безопасности MS17-010. Патч исправляет ошибку в компоненте SMB, отвечающую за работу общих сетевых папок. Wanna Cry быстро распространился только потому, что непропатченных компьютеров очень много. Установка MS17-010 блокирует размножение первых версий вируса, но что будет дальше – неизвестно. Лучше закрыть все уязвимости и настроить Центр обновлений на автоматическую установку новых патчей, чтобы Windows вовремя их получала.

Windows Vista, 7: Пуск – Панель управления – Центр управления Windows. Должна быть надпись “Windows не требуется обновление”, “Вы настроили автоматическую установку обновлений” или “Важные обновления отсутствуют”:

Windows 8, 8.1: На экране Пуск введите “Центр обновления”, появится ярлык Центра обновлений. Надписи в Центре аналогичные, разобраться нетрудно.

Windows 10: Пуск – Параметры – Обновление и безопасность:

Центр обновлений Windows 10

Для устаревших операционных систем (Windows XP, Windows Server 2003 и т.д.) есть страничка со ссылками на патч MS17-010: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Если по какой-то причине Центр обновлений не работает, можно нажать “Настройка параметров” в левой части окна Центра обновлений (только Vista/7/8) и включить автоматическое скачивание и установку, либо запустить средство устранения неполадок Центра обновления Windows: https://support.microsoft.com/ru-ru/help/971058/how-do-i-reset-windows-update-components

Внимание: если у вас нелицензионная Windows 7, после установки обновлений (в том числе MS17-010) есть шанс, что операционная система перестанет загружаться, показывая синий экран смерти при включении ПК. Это цена вмешательства в работу системы активаторами. Я вас предупредил!

2. Убедитесь, что на всех компьютерах вашей сети:

  • Установлены антивирусы со свежими базами. Какие – не особенно важно, хотя бы бесплатный Comodo или встроенный в Windows Защитник.
  • Все компьютеры обновляются вовремя. Упомянутое выше обновление – решение только на ближайшие дни мая 2017 года. Сегодня WCry лезет через “дырку” в компоненте SMBv1, завтра полезет через другую, поэтому на системах должны быть закрыты все известные уязвимости, не только MS17-010!
  • Используются браузеры самых свежих версий. Уязвимости старых версий могут эксплуатироваться злоумышленниками для заражения вирусами, в том числе Wanna Cry.

Надеюсь, благодаря советам в моём блоге вы сможете самостоятельно защитить свой домашний компьютер. На работе/в учебном заведении, надеюсь, есть адекватный админ, который сам знает, что делать, но уточнить у него пункты, озвученные выше, всё же стоит. Вдруг он был оторван от реальности прошедшие выходные.

А что случилось?

Случались и более масштабные заражения. Особенность эпидемии WannaCry в способе заражения. Используется уязвимость в системе, которую не закрыли сами пользователи, по каким-то причинам отключившие обновление системы.

Wanna Cry (другие названия – WCry и WanaCrypt0r) в системе особо не скрывается, ставит себя в автозагрузку, нагружает процессор и жёсткий диск. Теоретически, антивирусы и операционная система должны были на корню пресечь его действия, но двери открыли сами пользователи. Шифровальщик пришёл на всё готовенькое, быстро распространившись по компьютерам, владельцы (или админы) которых отключили автоматическое обновление, сведя защиту в ноль.

Читайте также:  Как избавиться от запаха кресла мешка

Для заражения не нужно кликать мышкой и открывать подозрительные файлы. Достаточно доступа в сеть, открытого порта 445 и непропатченной Windows. Антивирусы, кстати, в подобных ситуациях не обеспечивают стопроцентную защиту, потому что они не так хороши, как себя позиционируют, свежий вирус просто не увидят.

Ошибки СМИ

Не удивлюсь, если антивирусные эксперты волосы рвали от злости, когда увидели эти заголовки:

Скриншот Яндекс.Новостей по запросу Wanna Cry

Как можно было придумать такие вводящие в заблуждение заголовки? Утверждение о том, что распространение вируса остановлено, способно вызвать ложное ощущение безопасности. И это не смотря на то, что в текстах есть уточнение: остановка не полная, могут появиться новые версии WCry без проверки. Значит, авторы новостей что-то понимают в ситуации, тем не менее употребляя слово “остановил”. А много ли людей читают новости целиком?

Действительно, первая версия вируса при запуске пыталась подключиться к несуществующему сайту. Если сайт оказывался доступен, вирус прекращал свою работу. Британский программист с ником @MalvareTechBlog и его коллега Дариан Хасс быстренько зарегистрировали запрашиваемый домен и таким образом сумели обезвредить первую версию Wanna Cry. Злоумышленникам ничего не стоило изменить проверяемый адрес или вовсе отключить проверку, что и случилось буквально в течении суток. Сначала вышла версия с изменённым адресом для проверки, которая была остановлена точно так же – регистрацией домена, затем эксперты обнаружили версию Wanna Decrypt0r 2.0 без проверки домена с, к счастью, неработающим шифрованием. Возможно, это была тестовая версия, но что будет дальше?

Что будет дальше

Пока что пользователям везло: первые две версии вируса удалось “как бы” обезвредить, третья оказалась неработоспособной. Но вечно так продолжаться не будет. Очевидно, авторы учтут ошибки и изменят тактику, переписав компоненты вируса. Разные источники в Интернете сообщают, что известны от 4 до 8 разновидностей WCry, завтра может стать больше.

1. Удостовериться, что автоматическое обновление Windows и антивирус работают.

2. Делать почаще резервные копии фотографий, документов и других важных данных.

3. Не скачивать из Интернета всё подряд, не открывать документы из электронной почты с незнакомых адресов и/или подозрительным текстом.

4. Пользоваться только лицензионным программным обеспечением. В довесок к пиратским версиям программ и игр могут идти вирусы.

Даже если все пользователи обновят свои компьютеры и эпидемия WannaCry остановится, расслабляться не стоит. Злоумышленники ведь никуда не денутся! Используют другую найденную уязвимость и пойдёт очередная волна заражений.

Кое-что ещё

Материалы на тему с дополнительными советами и анализом ситуации:

Источник

WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужно правильное решение для надежного бэкапа

Как мы уже рассказывали, на прошлой неделе, в пятницу, 12 мая более чем 75000 компьютеров на Windows по всему миру пострадали от атаки червя-вымогателя, известного как WannaCry, WCry или WanaCrypt0r 2.0. Данная атака была довольно хорошо спланирована киберпреступниками и осуществлена в пятницу прямо перед выходными на крупные телекоммуникационные и транспортные компании, правительственные и правоохранительные органы, больницы и образовательные учреждения.


Эпидемия программы-вымогателя WannaCry затронула более 100 стран на прошлой неделе и стала самой крупной за всю историю. Сообщений о массовых проблемах у домашних пользователей пока не поступало, по-видимому в связи с тем, что большинство домашних пользователей используют версии Windows 7 и Windows 10 с автоматической установкой обновлений безопасности и получили исправление данной проблемы от Microsoft еще в марте.

Несмотря на то, что большое количество компаний и частных пользователей пострадало в результате кибератаки, есть и хорошие новости. В новой версии Acronis True Image 2017 New Generation мы внедрили технологию проактивного обнаружения и нейтрализации программ-вымогателей – Active Protection. Все пользователи, которые включили Acronis Active Protection на своих компьютерах, были защищены в этой критической ситуации. Кстати, для бизнеса такая возможность борьбы с программами-вымогателями уже тоже есть, пока в предварительной версии Acronis Backup 12 Advanced Beta и в ближайшем будущем будет доступна для всех пользователей.

Поскольку WannaCry атакуют и резервные копии, мы заранее предусмотрели надежную защиту собственных файлов с помощью технологии Active Protection, которая не дает вредоносному программному обеспечению испортить программу-агент для резервного копирования или созданные копии файлов, включая облачные.

Коротко о том, что нужно знать о WannaCry

WannaCry стал одним из первых червей-вымогателей. Данное зловредное программное обеспечение не только работает как вымогатель, но и пытается инфицировать как можно больше систем в сети, сканируя сеть, где он оказался, и заражая соседние компьютеры. Данную атаку очень тяжело обнаружить традиционными системами безопасности, потому что он скрытно использует недавно обнаруженную уязвимость в операционных системах Microsoft. После проникновения в систему WannaCry шифрует все локальные диски и сетевые папки. Именно функционал компьютерного червя делают данную атаку такой опасной для компаний и частных пользователей, потому что распространение его происходит через два источника – зараженное вложение в электронной почте и распространение как компьютерный червь.

Читайте также:  Как избавиться от усиков для девушек

Как мы и предсказывали ранее, сегодня наблюдается новое поколение программ-вымогателей, атакующих как локальные резервные копии файлов, так и удаляющие созданные теневые копии сервиса Volume Shadow Copy Service, встроенного в Microsoft Windows.

WannaCry применяет стойкий алгоритм шифрования, который не может быть просто и быстро дешифрован.

В данный момент атака происходит только на компьютеры под управлением ОС Windows, но похожие уязвимости и программы для их реализации возможны и для других операционных систем. Мы ожидаем, что появление атаки такого же масштаба на другие ОС и устройства – дело времени.

Жертвы из разных индустрий — это не случайность

Киберпреступники специально выбирали жертв для атаки из компаний, которые не могут себе простоя и, вероятнее всего, предпочтут быстро заплатить выкуп: телекоммуникационные, логистические и энергетические компании, общественный транспорт, больницы, школы и университеты. Злоумышленники не побоялись атаковать даже подразделения МВД России! Краткий список компаний-жертв атаки червя-вымогателя:

  • Национальная служба здравоохранения Великобритании NHS переносит прием пациентов, т.к. не может проводить диагностику больных. (Список пострадавших больниц)
  • Завод Nissan в Великобритании
  • Телекоммуникационная компания Telefonica в Испании
  • Энергетические компании Iberdrola и Gas Natural (Испания)
  • Логистическая компания FedEx (США)
  • Университет Ватерлоо (США)
  • МВД и Мегафон в России
  • ВТБ (один из крупнейших российских банков)
  • Российские Железные Дороги (РЖД)
  • Португальская телекоммуникационная компания Portugal Telecom
  • Сбербанк Россия (крупнейший банк в России)
  • Индийская авиакомпания Shaheen Airlines
  • Немецкая железная дорога Deutche Bahn (@farbenstau)
  • Школы и университеты в Китае (источник)
  • Библиотека Омана (@99arwan1)
  • Бюро общественной безопасности провинции Яаншуи в Китае
  • Автопроизводитель Renault во Франции
  • Школы во Франции
  • Университет Милано-Бикокка (Италия)
  • Торговый центр в Сингапуре
  • Банкоматы в Китае
  • Телекоммуникационная компания Саудовской Аравии и ряда других стран STC telecom (Источник)

Список жертв, который постоянно пополняется, находится тут.

Как распространяется вымогатель WannaCry?

Червь-вымогатель WannaCry проникает в частные и корпоративные сети с помощью рассылок нежелательной почты, которая содержит вредоносные вложения, которые, в свою очередь, содержат макрос или ссылку на вредоносную программу, начинающую первоначальное заражение. И хотя на текущий момент нет примеров таких писем, все аналитики, включая экспертов Microsoft, сходятся в том, что именно таким образом происходило заражение на первом этапе.

Дальнейшая активность WannaCry зависит от двух утекших элементов криптоэлементов: бекдор DOUBLEPULSAR и эксплоит ETERNALBLUE.

При использовании ETERNALBLUE происходит внедрение DOUBLEPULSAR в систему и DOUBLEPULSAR использует уязвимость драйвера режима ядра ОС SRV.SYS (файловый сервер SMB), которая позволяет встроить и выполнить код опасной DLL в любом процессе на скомпрометированной системе.

После установки вредоносной программы, она начинает действовать как программа-червь, сканируя сеть и подключаясь по порту 445 к другим компьютерам для обнаружения работающих бекдоров DOUBLEPULSAR, передает зараженные файлы, которые запускают процесс на новом компьютере, распространяя инфекцию подобно пожару в лесу. Если же атакованная система не содержит бекдора DOUBLEPULSAR, то червь сначала устанавливает его через эксплоит ETERNALBLUE, и процесс продолжается.

Особенности механизма распространения червя

Перед началом своей активности, WannaCry проверяет существование специального домена «выключателя» и если он находит его, то программа прекращает свою работу. Первая версия червя была остановлена именно путем активации такого домена «выключателя». Если же «выключатель» не существует, то червь начинает загрузку своих модулей, регистрирует сервис, сканирует случайные IP-адреса по порту 445, проверяет наличие бекдора DOUBLEPULSAR и подготавливает пакет для внедрения.

Процесс подготовки пакета для внедрения реализован в виде функции, которую мы называем initNetworkInjectingExecutables в псевдокоде ниже. initNetworkInjectingExecutables читает DLL-загрузчик из червя, создает пакет для внедрения, добавляет к нему червя и пересылает на скомпрометированный системный порт. На этой системе загрузчик получает контроль через бекдор DOUBLEPULSAR и запускает червь. Данный процесс вновь повторяется на зараженной машине, раздувая лесной пожар дальше.

Новые варианты червя.

С момента первой атаки появились уже два новых варианта червя.

Первый (SHA256: 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf) использует другое имя для домена «выключателя», а другая версия (SHA256: 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd) вообще не использует домен «выключатель», но архив поврежден, и работает только механизм червя. Что интересно, домен «выключатель» был заменен в виде заплатки путем обнуления строки URL, следовательно, у злоумышленников, скорее всего, не было доступа к исходному коду, что позволяет предположить, что другие злоумышленники пытаются переиспользовать вредонос, чтобы легко нажиться на его успехе. Также возможно, что вымогать был просто заказан разработчику, а распространитель не силен в программировании или не имеет исходных кодов, и пытается решить проблему подобным путем, не обращаясь еще один раз к разработчику вредоносного ПО.

Зловредная часть в этом семпле из tasksche.exe была слегка изменена:

Сравнение файлов MSSECSVC.EXE_3 и MSSECSVC.EXE_2

Это привело к неработоспособности криптора. Было ли это сделано по ошибке или с какой-то иной целью, пока до конца не ясно.

Читайте также:  Чудо лопата для копки земли крот 420 мм

Если у вас нет современной системы для создания резервных копий, ваши файлы будут утеряны

Зловредное программное обеспечение на инфицированной системе удаляет все теневые копии VSS всеми доступными способами:

Так же отключается консоль восстановления на скомпрометированной системе:

Как WannaCry шифрует файлы

Вредоносная часть червя запускает по расписанию программу-шифровальщик tasksche.exe, которую она распаковывает из загрузочного пакета. Шифровальщик сканирует все диски и сетевые папки на системе, ищет файлы с расширениями из внутренней таблицы и шифрует их алгоритмом RSA с 2048-битным ключом. В новой папке с именем Tor/ он создает tor.exe и сопутствующие файлы. Туда же копируются два файла: taskdl.exe и taskse.exe. Последняя программа удаляет следы работы червя и далее запускает @wanadecryptor@.exe. Данная программа показывает заставку с требование выкупа и осуществляет связь через сеть Tor.

Шифровальщик шифрует файлы более чем 160 различных расширений:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Если система не защищена пользователь увидит неприятное сообщение:

Остается только надеяться, что файлы можно будет расшифровать после уплаты выкупа или смириться с потерей данных, если нет защищенной резервной копии.

Как защитить ваши системы от атак WannaCry и других программ-вымогателей

Первым делом, все пользователи, которые обновили свои компьютеры с Windows с марта с.г. защищены от этой уязвимости.

    Включите автоматическую установку обновлений Windows. Если вы не обновляли ОС продолжительное время или используете старую версию ОС, проверьте наличие программы-заплатки от Microsoft как можно скорее. Исправления доступны даже для снятых с поддержки версий Windows XP и Windows Server 2003. Все домашние и офисные компьютеры, которые не имеют свежих обновлений, могут быть заражены.

Установите на компьютерах современную систему защиты от зловредного программного обеспечения. Это может значительно снизить угрозу заражения и потенциально остановить программы-вымогатели.

  • Мы рекомендуем использовать продукты Acronis для резервного копирования и защиты данных по технологии Active Protection. Использование эвристических алгоритмов и система мгновенного восстановления из резервной копии поврежденных файлов защитит данные пользователя. На снимках с экранов видно, как технология Active Protection успешно предотвратила работу WannaCry. В решениях для бизнеса продуктах Acronis Active Protection работает аналогичным образом.

    • Установленный на компьютере пользователя Acronis True Image 2017 New Generation с активированной функцией Acronis Active Protection обнаруживает работу WannaCry и других программ-вымогателей.

      Примите за правило не открывать какие-либо подозрительные вложения или ссылки из электронной почты. Не кликайте на подозрительные ссылки в веб-браузере, не ходите на веб-сайты, которые вы не знаете. Всегда наводите курсор на ссылку, чтобы посмотреть реальную ссылку и не попадайтесь на фишинг.

    Обращайте внимание только на электронные письма, которые отправлены вам и ваш адрес есть в полях «Кому» и «Копия», иначе не открывайте подобное письмо и уж точно не открывайте вложения и ссылки из него!

    Убедитесь, что электронный адрес отправителя вам знаком, даже если имя вам кажется похожим. Иногда злоумышленники используют механизмы спуфинга для подмены адресов.

  • Регулярно делайте резервные копии системы и всех важных файлов. Как вы знаете, WannaCry требует выкуп за восстановление данных в 300 долларов США, что значительно дороже решения для резервного копирования типа Acronis True Image 2017 New Generation или Acronis Backup, которые могут обеспечить защиту ваших данных. На снимке экрана ниже хорошо видно, как технология Active Protection автоматически восстанавливает поврежденные файлы.

    • Все поврежденные файлы практически мгновенно восстанавливаются Acronis Active Protection без уплаты выкупа киберпреступникам.

    Если не верите нам, то вот подробный видеоролик на популярном youtube канале:

    → Скачать триальную версию или купить лицензию Acronis True Image 2017 New Generation можно по ссылке.

    → Данную статью можно прочесть на английском языке в нашем блоге.

    Источник

    Оцените статью
    Избавляемся от вредителей
    © 2023 Избавляемся от вредителей