Вірус-вимагач WannaCry атакує: як врятуватися

1. Що таке WannaCry
2. Що робити?
3. видалення

Вірусна ситуація. Фото: Скрін з сайту https://securelist.com/statistics/

Десятки тисяч комп'ютерів по всьому світу опинилися заблоковані новим вірусом-здирником WannaCry. Шкідлива програма пробирається в систему через раніше невідому вразливість Microsoft Security Bulletin MS17-010, після чого блокує екран і шифрує файли на жорсткому диску. За розшифровку інформації творці програми вимагають від 200 до 600 доларів США в біткоіни. Якщо власник ураженої машини відмовляється платити, творці WannaCry обіцяють через два дні збільшити суму викупу, а через тиждень і зовсім стерти всі дані. ІА PrimaMedia пропонує інструкцію, як врятуватися від вірусу, якщо ви стали його заручником.

Вірус WannaCry взяв в заручники комп'ютери по всьому світу. Файли на десятках тисяч комп'ютерів були заблоковані. Серед постраждалих - як звичайні користувачі, так і великі компанії, а також державні структури, повідомляє Interfax .

Що таке WannaCry

WannaCry - софт, призначений для вимагання. Після установки на комп'ютер жертви програма або зашифровує частина важливих файлів, вимагаючи гроші за інструкцію і пароль для розшифровки, або блокує роботу систему, виводячи на екран вікно з погрозами. WannaCry робить і те, і інше: шифрує бази даних, блокує комп'ютер і виводить повідомлення з вимогою внести суму викупу на біткоіни-гаманець зловмисника.

Суми викупу різняться: хакери вимагають від $ 200 до $ 600. Якщо протягом двох днів жертва не сплатить викуп, його сума буде збільшена. Якщо користувач відмовиться платити протягом тижня, зашифровані файли втечуть. Судячи з того, що на одному з таких гаманців (повідомляється, що їх кілька) вже лежить 4 біткоіни (більше $ 6700), хтось злякався погроз: 22 транзакції датуються 13 травня.

Вірус. Фото: Скрін

Що робити?

як радить 3Dnews.ru , Щоб не поповнити ряди тих, чий комп'ютер виявився заражений, необхідно розуміти, як зловредів проникає в систему. За даними "Лабораторії Касперського", атака відбувається з використанням уразливості в протоколі SMB, що дозволяє віддалено запускати програмний код. В його основі лежить експлойт EternalBlue, створений в стінах Агентства національної безпеки США (АНБ) і викладений хакерами у відкритий доступ.

Виправлення проблеми EternalBlue корпорація Microsoft представила в бюлетені MS17-010 від 14 березня 2017 року, тому першою і головною мірою з захисту від WannaCry повинна стати установка цього оновлення безпеки для Windows. Саме той факт, що багато користувачів і системні адміністратори досі не зробили цього, і послужив причиною для такої масштабної атаки, збиток від якої ще належить оцінити.

Необхідно користуватися оновленим антивірусом в режимі моніторингу, по можливості перевірити систему на наявність загроз. У разі виявлення і ліквідації активності MEM: Trojan.Win64.EquationDrug.gen перезавантажити систему, після чого переконатися в тому, що MS17-010 встановлений. На поточний момент відомо вісім найменувань вірусу:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM: Trojan.Win32.Generic.

У свою чергу корпорація Microsoft випустила оновлення для операційних систем Windows XP, Windows 8 і Windows Server 2003 для захисту користувачів від атак програми-шифрувальника WannaCry, повідомила "Інтерфаксу" представник компанії Христина Давидова.

"Ми знаємо, що деякі з наших клієнтів працюють з версіями Windows, які більше не підтримуються компанією. Це означає, що клієнти не отримають оновлення від Microsoft в березні. З огляду на можливий вплив на користувачів і їх бізнес ми прийняли рішення випустити оновлення для користувачів Windows XP, Windows 8 і Windows Server 2003 ", - йдеться в офіційному блозі Microsoft.

За її словами, користувачі безкоштовного антивіруса компанії і оновленої версії Windows захищені.

До слова, поширення вірусу-здирника призупинили реєстрацією доменного імені, пише "Комерсант" .

Фахівець з інформаційної безпеки, який веде Twitter-аккаунт @MalwareTechBlog, повідомив, що поширення вірусу-здирника WannaCrypt (Wanna Decryptor) вдалося призупинити, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Він зауважив в коді вірусу звернення до цього домену та вирішив його зареєструвати.

Потім стало зрозуміло, що якщо звернення до цього домену успішно, то зараження слід припинити; якщо немає (в разі відсутності такого зареєстрованого домену), то продовжувати атаки. Однак при реєстрації імені експерт не знав, що це призведе до уповільнення поширення вірусу. При цьому реєстрація домену, згадується в коді, не є універсальним засобом від дій блокувальника. Щоб відновити зараження, хакерам досить змінити рядки коду зі згадуванням домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Що робити, якщо вірус все-таки проник? Порада від TJ .

видалення

Якщо убезпечити комп'ютер заздалегідь не вдалося, слід виконати кілька дій з видалення Wncry.

1. Варто включити безпечний режим з підтримкою мережі. У Windows 7 це можна зробити при перезавантаженні системи після натискання клавіші F8. Також є інструкції з виконання цього кроку для інших версій, в тому числі Windows 8 і Windows 10.

2. Можна самостійно видалити небажані програми через "Видалення програм". Однак щоб уникнути ризику помилки і випадкової шкоди системі, варто скористатися антивірусними програмами на кшталт SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware або STOPZilla.

Останній крок для звичайного користувача - відновлення зашифрованих файлів, яке слід виконувати тільки після видалення Wncry. В іншому випадку можна нанести шкоду системних файлів і реєстрів.

Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для жителів країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від російськомовних розробників.

Ці способи не гарантують повного відновлення файлів.