Избор на редакторите

Wannacry Virus – Как да се защитите и [без загуба] да възстановите данни

Ако вашият компютър или няколко устройства във вашата домашна или работна мрежа са заразени с вируса Wannacry, прочетете нашата статия.

Тук ще научите как да се предпазите и да предотвратите инфекция, както и как правилно да декриптирате криптирани данни.

Значението на това знание се потвърждава от информация за повече от 150 хиляди компютри, заразени през 2017 г., в чиято операционна система е попаднало злонамерен WC код.

И въпреки че глобалното разпространение на заплахата беше спряно, възможно е следващата версия на ransomware да стане още по-ефективна и си струва да се подготвите за появата му предварително.

съдържание:

Ефекти

Първи признаци на заразяване с ransomware на компютрите са открити на 12 май 2017 гкогато неизвестна програма попречи на работата на хиляди потребители и стотици различни организации по целия свят.

Злонамереният код започна да се разпространява в 8:00 сутринта и през първия ден вече зарази над 50 хиляди компютъра.

Повечето инфекции са настъпили в - въпреки че първите данни идват от Обединеното кралство, а сред засегнатите организации са испански и португалски телекомуникационни компании и дори автоконцерн "Рено".

В Русия той атакува оператори мобилни комуникации "мегафон", Билайни "йота", Министерството на извънредните ситуации, Министерството на вътрешните работи и управлението на железниците.

Поради това в някои региони на страната изпитите за получаване на шофьорска книжка бяха отменени, а редица организации временно спряха работата си.

Регистрация на име на домейн, изписано в вирусния код, разрешено да спре разпространението му... След това програмата вече нямаше достъп до конкретен домейн и не работеше. Вярно, само преди дипломирането нова версия, където вече не беше предписано обжалване на конкретен адрес.

Изисквания към разработчиците на злонамерен код

Резултатът от заразяването на компютрите беше блокирането на повечето от твърди дисковефайлове.

Поради невъзможността да се използва информацията, потребителите дори преведоха името на приложението WannaCry като "Аз искам да плача", но не "Искам да криптирам"(Wanna Cryptor), както беше в действителност.

Но като се има предвид, че най-вероятно нешифрованите файлове не могат да бъдат възстановени, персонализираната опция изглеждаше по-подходяща.

На работния плот на заразения компютър се появиха прозорци с искания за плащане на измамници за отключване на информация.

Първоначално нападателите поискаха само 300 долара, след известно време сумата се увеличи до 500 долара - и след плащане нямаше гаранции, че атаката няма да се повтори - в края на краищата компютърът все още беше заразен.

Но ако откажете да платите, криптираните данни изчезнаха 12 часа след появата на предупреждението.

Методи за разпространение на заплаха

Разработчиците на злонамерената програма използваха уязвимост в тази операционна система, за да заразят компютрите с Windows, която беше затворена с актуализацията MS17-010.

Повечето от жертвите са тези потребители, които не са инсталирали тази актуална корекция през март 2017 г.

След инсталиране (ръчни или автоматични) актуализации, отдалеченият достъп до компютъра беше затворен.

В същото време мартенският пластир не защити напълно операционната система. Особено ако потребителят го отвори сам - по този начин вирусът също се разпространява.

И след като зарази един компютър, вирусът продължи да се разпространява в търсене на уязвимости - поради тази причина най-уязвимите бяха не отделни потребители, а големи компании.

Предотвратяване на инфекция

Въпреки сериозната опасност вирусът (и новите му версии) да попадне на почти всеки компютър, има няколко начина да избегнете заразяването на системата.

За да направите това, трябва да се вземат следните мерки:

• уверете се, че сте инсталирали най-новите корекции на сигурността и ако липсват, добавете ги ръчно. След това не забравяйте да го включите автоматично актуализиране- най-вероятно тази опция е била деактивирана;

• не отваряйте писма с прикачени файлове от неизвестни потребители;
• не кликвайте върху подозрителни връзки - особено ако антивирусът предупреждава за тяхната опасност;
• инсталирайте висококачествена антивирусна програма - например или, за която степента на откриване на Van Edge е максимална. Повечето от по-малко известните и особено безплатни приложениязащитава платформата по-лошо;

• след заразяване, незабавно изключете компютъра от интернет и особено от локална мрежакато защитава други устройства от разпространение на ransomware.

Освен това потребителят трябва периодично да запазва важни данни, като създава резервни копия.

Ако е възможно, си струва да копирате информация на USB памети, карти с памет и не (външни или сменяеми вътрешни).

Ако е възможно да се възстанови информацията, щетите от вируса ще бъдат минимални - ако компютърът е заразен, достатъчно е просто да форматирате неговото устройство за съхранение.

Лечение на заразен компютър

Ако компютърът вече е заразен, потребителят трябва да се опита да го излекува, като се отърве от последствията от действието WannaCry.

В крайна сметка, след като вирусната програма влезе в системата, техните разширения се променят.

Когато се опитва да стартира приложения или да отвори документи, потребителят се проваля, което го принуждава да мисли за решаване на проблема, като плати необходимите 500 долара.

Основното етапи на решаване на проблема:

1 Стартиране на услуги, вградени в операционната система Windows.Шансът за положителен резултат в този случай е малък, така че най-вероятно ще трябва да използвате други опции;

2 Преинсталиране на системата.В този случай всичко трябва да бъде форматирано - възможно е цялата информация да бъде загубена в този случай;

3 Отидете на декриптиране на данни- тази опция се използва, ако дискът съдържа важни данни.

4 Процес на възстановяване на файловезапочва с изтегляне на съответните актуализации и прекъсване на връзката с интернет. След това потребителят трябва да изпълни командния ред (чрез "Старт"и раздел "Стандарт"или през менюто "бягай" i) и блокира порт 445, затваряйки пътя на проникване на вируса. Това може да стане чрез въвеждане на командата netsh advfirewall защитна стена добавяне на правило dir = in action = block protocol = tcp localport = 445 name = "Block_TCP-445.

5 Сега следва бягай.За да направите това, задръжте клавиша по време на зареждане. F8за да отидете в стартовото меню на компютъра и изберете съответния елемент. В този режим се отваря папка със злонамерен код, която се намира с помощта на пряк път за вирус, който се появява на работния плот. След като изтриете всички файлове в директорията, трябва да рестартирате системата и отново да включите интернет.

Декриптиране на файлове

След като работата на WannaCry бъде спряна, от потребителя се изисква да възстанови всички криптирани файлове.

Струва си да се отбележи, че сега има много повече време за това от 12 часа - следователно, ако не можете да върнете данните сами, можете да се свържете със специалистите след няколко дни или месеци.

Най-добрият вариант- възстановяване на данни от резервни копия. Ако потребителят не е предвидил възможността за заразяване и не е копирал важни данни, програмата за декриптиране трябва да бъде изтеглена:

• Shadow Explorer, който се основава на възстановяването на "сенчести" копия на файлове (предимно документи);

Ориз. 6. Стартиране на програмата

Фиг. 7. Работна зона

Ориз. 8. Стартиране на процеса на възстановяване

Wanna Cry Virus е нов вид хакерска атака, злонамерен софтуер за рансъмуер накара потребителите на компютри и интернет по целия свят да потръпнат. Как действа вирусът Wanna Cry, възможно ли е да се предпазим от него и ако да, как?

Описание на вируса Wanna Cry- вида на зловреден софтуер, принадлежащ към категорията RansomWare, ransomware. Когато се удари HDDжертви, Wanna Cry оперира от сценария на своите "колеги" като напр TrojanRansom.Win32.zipкриптиране на всички лични данни на всички известни разширения... Когато се опитва да прегледа файла, потребителят вижда на екрана искане за плащане на n-та сума пари, като се предполага, че след това нападателят ще изпрати инструкция за деблокиране.

Често изнудването на пари се извършва чрез SMS попълване на специално създадена сметка, но наскоро за това се използва услугата за анонимни плащания. биткойн.

Wanna Cry вирус - как работи. Wanna Cry е програма, наречена WanaCrypt0r 2.0който атакува изключително компютри с Windows. Програмата използва "дупка" в системата, за да проникне - Бюлетин за сигурност на Microsoft MS17-010чието съществуване е било неизвестно преди. На този моментне е известно със сигурност как хакерите са открили уязвимостта MS17-010. Има версия за саботажа на производителите на антивирусен софтуер за поддържане на търсенето, но, разбира се, никой не отписва интелигентността на самите хакери.

За съжаление разпространението на вируса Wanna Cry се осъществява по най-простия начин - по имейл. След отваряне на спам съобщение се стартира криптор и криптираните файлове са почти невъзможни за възстановяване.

Wanna Cry virus - как да се предпазите, лечение. WanaCrypt0r 2.0 използва уязвимостите в мрежовите услуги на Windows по време на атаката. Известно е, че Microsoft вече пусна "кръпка" - просто стартирайте актуализацията Windows Updateпреди последна версия... Струва си да се отбележи, че само потребители, които са закупили лиценз версия на Windows- когато се опитате да актуализирате "пирата", системата просто няма да премине проверката. Също така трябва да запомните, че Windows XP вече не се актуализира, както, разбира се, и по-ранните версии.

Можете да се предпазите от Wanna Cry, като следвате няколко прости правила:

• актуализирайте системата навреме - всички заразени компютри не са актуализирани
• използвайте лицензирана ОС
• не отваряйте съмнителни имейли
• не кликвайте върху съмнителни връзки, оставени от потребители, които не са надеждни

Според съобщения в медиите, доставчиците на антивирусен софтуер ще пускат актуализации за борба с Wanna Cry, така че актуализирането на вашия антивирус също не трябва да се отлага.

WannaCry - специална програма, който заключва всички данни в системата и оставя на потребителя само два файла: инструкции какво да прави по-нататък и самата програма Wanna Decryptor, инструмент за отключване на данни.

Повечето компании за компютърна сигурност имат инструменти за декриптиране на откуп, които могат да заобиколят софтуер... За обикновените простосмъртни методът на „лечение“ все още е неизвестен.

WannaCry Decryptor (или WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),вече се нарича "вирусът на 2017 г.". И изобщо не е неразумно. Само за първите 24 часа след началото на разпространението си този рансъмуер зарази повече от 45 000 компютъра. Някои изследователи смятат, че към момента (15 май) са заразени повече от милион компютри и сървъри. Напомняме, вирусът започна да се разпространява на 12 май. Първи пострадали потребители от Русия, Украйна, Индия и Тайван. В момента вирусът се разпространява с висока скорост в Европа, САЩ и Китай.

Информацията на компютрите и сървърите беше криптирана правителствени агенции(по-специално Министерството на вътрешните работи на Русия), болници, транснационални корпорации, университети и училища.

Wana Decryptor (Wanna Cry или Wana Decrypt0r) парализира работата на стотици компании и правителствени агенции по целия свят

Всъщност WinCry (WannaCry) е експлоат на семейството EternalBlue, който използва доста стара уязвимост на операционната система Windows (Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10) и се зарежда в системата в тих режим. След това, използвайки алгоритми, които са устойчиви на декриптиране, той криптира потребителски данни (документи, снимки, видеоклипове, електронни таблици, бази данни) и изисква откуп за декриптиране на данните. Схемата не е нова, ние постоянно пишем за нови видове ransomware за криптиране на файлове - но методът на разпространение е нов. И това доведе до епидемия.

Как действа вирусът

Зловредната програма сканира интернет за компютри с отворен TCP порт 445, който отговаря за поддържането SMB протокол v1. След като намери такъв компютър, програмата прави няколко опита да експлоатира уязвимостта EternalBlue върху него и, ако е успешна, инсталира Backdoor DoublePulsar, през който се зарежда и стартира изпълнимият код на програмата WannaCry. Всеки път, когато се опита да експлоатира, зловредният софтуер проверява за присъствието на DoublePulsar на целевия компютър и ако бъде открит, той се изтегля директно през този бекдор.

Между другото, тези пътеки не се проследяват от съвременните антивирусен софтуер, което направи инфекцията толкова масова. И това е огромен калдъръм в градината на разработчиците на антивирусен софтуер. Как може да се допусне това? за какво взимаш пари?

Веднъж стартиран, злонамереният софтуер действа като класически ransomware: той генерира двойка ключове на асиметричен алгоритъм RSA-2048, която е уникална за всеки заразен компютър. След това WannaCry започва да сканира системата в търсене на потребителски файлове от определени типове, оставяйки критичните непокътнати за по-нататъшното й функциониране. Всеки избран файл се криптира с помощта на алгоритъма AES-128-CBC с уникален (случаен) ключ за всеки от тях, който от своя страна се криптира с отворения RSA ключ на заразената система и се съхранява в заглавката на криптирания файл. В същото време разширението се добавя към всеки криптиран файл. .wncry... RSA двойката ключове на заразената система се криптира с публичния ключ на нападателите и се изпраща до тях на контролните сървъри, разположени в мрежата Tor, след което всички ключове се изтриват от паметта на заразената машина. След приключване на процеса на криптиране, програмата показва прозорец със заявка за прехвърляне на определена сума в биткойни (еквивалентни на 300 щатски долара) в посочения портфейл в рамките на три дни. Ако откупът не бъде получен навреме, тогава сумата му автоматично ще бъде удвоена. На седмия ден, ако WannaCry не бъде премахнат от заразената система, криптираните файлове се унищожават. Съобщението се показва на езика, който съответства на този, инсталиран на компютъра. Общо програмата поддържа 28 езика. Успоредно с криптирането, програмата сканира произволни интернет и локални мрежови адреси за последващо заразяване на нови компютри.

Според проучване на Symantec алгоритъмът, използван от нападателите за проследяване на индивидуалните плащания на всяка жертва и изпращане на ключ за декриптиране, е внедрен с грешка в състоянието на състезанието. Това прави плащанията на откуп безсмислени, тъй като отделните ключове така или иначе няма да бъдат изпратени, а файловете ще останат криптирани. Въпреки това, има надежден метод за декриптиране на потребителски файлове, по-малки от 200MB, и има някои шансове за възстановяване на по-големи файлове. Също така, на остарялата Windows системи XP и Windows Server 2003, поради особеностите на реализацията на алгоритъма за изчисляване на псевдослучайни числа в системата, е възможно дори възстановяване на частни RSA ключове и декриптиране на всички засегнати файлове, ако компютърът не се е рестартирал от момента на инфекция. По-късно група френски експерти по киберсигурност от Comae Technologies разшириха тази възможност до Windows 7 и я приложиха на практика, като публикуваха помощна програма WanaKiwiкоето ви позволява да декриптирате файлове без откуп.

В кода на по-ранните версии на програмата беше предвиден механизъм за самоунищожение, така наречения Kill Switch - програмата провери наличността на два конкретни интернет домейна и, ако има такива, беше напълно премахната от компютъра. За първи път е открит от Маркъс Хътчинс на 12 май 2017 г (Английски)Руски , 22-годишен вирусен анализатор в британската компания Kryptos Logic, който туитва под псевдонима @MalwareTechBlog и е регистрирал един от домейните на свое име. Така той успя временно да блокира частично разпространението на тази модификация на злонамерената програма. На 14 май беше регистриран и вторият домейн. В следващите версии на вируса този механизъм за самоизключване беше премахнат, но това не беше направено в оригинала програмен код, и чрез редактиране изпълним файл, което ни позволява да предположим, че произходът на тази корекция не е от авторите на оригиналния WannaCry, а от нападатели на трети страни. В резултат на това механизмът за криптиране беше повреден и тази версия на червея може само да се разпространи, намирайки уязвими компютри, но не е в състояние да им причини директна вреда.

Бързото разпространение на WannaCry, уникално за ransomware, се задвижва от уязвимост, публикувана през февруари 2017 г. мрежов протоколОперационна система SMB Microsoft Windowsописано в бюлетин MS17-010. Докато в класическата схема, ransomware влиза в компютъра чрез действията на самия потребител чрез имейл или уеб връзка, в случая на WannaCry, участието на потребителя е напълно изключено. Времето между откриването на уязвим компютър и пълното му заразяване е около 3 минути.

Компанията разработчик потвърди наличието на уязвимост в абсолютно всички потребителски и сървърни продукти, които имат внедряване на протокола SMBv1 - като се започне с Windows XP / Windows Server 2003 и завършва с Windows 10 / Windows Server 2016. На 14 март 2017 г. Microsoft пусна серия от актуализации, предназначени да неутрализират уязвимостта във всички поддържани ОС. След разпространението на WannaCry, компанията предприе безпрецедентна стъпка, като пусна актуализации за своите продукти с изтекъл срок на годност (Windows XP, Windows Server 2003 и Windows 8) на 13 май.

Разпространението на вируса WannaCry

Вирусът може да се разпространява по различни начини:

• Чрез единна компютърна мрежа;
• По пощата;
• Чрез браузър.

Лично на мен не ми е съвсем ясно защо мрежова връзкане е сканиран от антивирус. Същият метод на заразяване като при посещение на уебсайт или браузър доказва безпомощността на разработчиците и факта, че исканите средства за лицензиран софтуер за защита на компютъра по никакъв начин не са оправдани.

Симптоми на инфекция и лечение на вируса

След успешна инсталация на компютъра на потребителя, WannaCry се опитва да се разпространи по локалната мрежа до други компютри като червей. Шифрираните файлове получават системното разширение .WCRY и стават напълно нечетими и не могат да бъдат декриптирани от вас. След пълно криптиране, Wcry променя тапета на работния плот и оставя "инструкции" за декриптиране на файлове в криптирани папки.

Първоначално хакерите изнудваха 300 долара за ключове за декриптиране, но след това повишиха тази цифра до 600 долара.

Как да попречите на WannaCry Decryptor да зарази вашия компютър?

Изтеглете актуализацията на операционната система от уебсайта на Microsoft.

Какво да правя euвашият компютър заразен ли е?

Използвайте инструкциите по-долу, за да опитате да възстановите поне част от информацията на заразения компютър. Актуализирайте антивирусната си програма и инсталирайте корекцията на операционната система. Декриптор за този вирус все още не съществува в природата. Силно препоръчваме да не плащате откуп на киберпрестъпници - няма гаранции, дори и най-малки, че те ще декриптират вашите данни, след като получат откуп.

Премахнете WannaCry ransomware с автоматичен почистващ препарат

Единствено и само ефективен методработа със злонамерен софтуер като цяло и рансъмуер в частност. Използването на добре доказан защитен комплекс гарантира задълбочено откриване на всякакви вирусни компоненти, техните пълно отстраняванес едно щракване. Моля, имайте предвид, че говорим за два различни процеса: деинсталиране на инфекцията и възстановяване на файлове на вашия компютър. Въпреки това заплахата със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с негова помощ.

1. Изтеглете инструмента за премахване на вируси WannaCry... След като стартирате софтуера, щракнете върху бутона Стартирайте сканирането на компютъра(Стартирайте сканирането). Изтеглете програмата за премахване на ransomware WannaCry .
2. Инсталираният софтуер ще предостави отчет за заплахите, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Поправете заплахите(Елиминирайте заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.

Възстановете достъпа до криптирани файлове

Както беше отбелязано, no_more_ransom ransomware заключва файлове със силен алгоритъм за криптиране, така че криптираните данни не могат да бъдат възобновени с вълна на магическа пръчка - освен ако не вземете предвид нечуваното плащане на откуп. Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.

Програма за автоматично възстановяване на файлове (декриптор)

Известно е много извънредно обстоятелство. Тази инфекция изтрива оригиналните файлове некриптирани. По този начин процесът на криптиране на ransomware е насочен към техни копия. Това дава възможност за такива софтуеркак Професионално възстановяване на даннивъзстановяване на изтрити обекти, дори ако надеждността на тяхното елиминиране е гарантирана. Силно препоръчително е да се прибегне до процедурата за възстановяване на файлове, нейната ефективност е извън съмнение.

Обемни сенчести копия

Подходът се основава на процедурата на Windows Резервно копиефайлове, което се повтаря при всяка точка на възстановяване. Важно условие за работа на този метод: функцията "Възстановяване на системата" трябва да бъде активирана преди заразяване. Въпреки това, всички промени, направени във файла след точката за възстановяване, няма да се показват във възстановената версия на файла.

Архивиране

Това е най-добрият от всички методи без обратно изкупуване. Ако процедурата за архивиране на данни на външен сървър е била използвана преди атаката на ransomware на вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, да изберете необходимите файлове и да стартирате механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че ransomware е напълно премахнат.

Проверете за възможни остатъчни компоненти на ransomware WannaCry

Ръчното почистване е изпълнено с пропускане на определени фрагменти от ransomware, които могат да избегнат изтриването под формата на скрити обекти на операционната система или записи в регистъра. За да премахнете риска от частично задържане на определени злонамерени елементи, сканирайте компютъра си с помощта на надежден софтуерен комплекс за сигурност, специализиран в злонамерен софтуер.

Декриптиране

Но няма информация от тези, които са платили за декриптирането, както няма информация за намерението на хакерите да успокоят душата на хората и да декриптират информация след плащане ((((

Но на Habré имаше инфа за принципа на действие на бутона Decrypt, както и за факта, че нападателите нямат начин да идентифицират потребителите, изпратили топката-бияч, което означава, че никой няма да възстанови нищо на жертвите:

„Крипторът създава два типа файлове: първо, част е криптирана с помощта на 128-битов AES, докато генерираният ключ за декриптиране се добавя директно към криптирания файл. За файлове, криптирани по този начин, крипторът дава разширението .wncyrи именно тях след това декриптира, когато щракнете върху Декриптиране. По-голямата част от това, което е криптирано, получава разширение .wncryи ключа вече го няма.
В този случай криптирането не се извършва в самия файл, а първо се създава файл на диска, където се поставя криптираното съдържание, а след това оригиналният файл се изтрива. Съответно, за известно време има шанс за възстановяване на част от данните с помощта на различни помощни програми за възстановяване на изтриване.
За да се бори с подобни помощни програми, cryptor постоянно записва всеки оставен боклук на диска, така че дисковото пространство се изчерпва достатъчно бързо.
Но защо все още няма информация за плащане и механизми за неговата проверка, това е наистина изненадващо. Вероятно това е повлияно от доста прилична сума (300 долара), която е необходима за такава проверка.

Създателите на вируса WannaCry заобиколиха временната защита под формата на безсмислен домейн

Създателите на ransomware вируса WannaCry, който е засегнал компютрите в повече от 70 държави, пуснаха нова негова версия. Липсва му кодът за достъп до безсмисления домейн, с помощта на който беше възможно да се предотврати разпространението на оригиналния вирус, пише Motherboard. Изданието получи потвърждение за появата на нова версия на вируса от двама специалисти, които изследваха нови случаи на заразяване на компютри. Един от тях е Костин Райу, ръководител на международния изследователски екип в Kaspersky Lab.

Експертите не уточниха дали има други промени в WannaCry.

Тази кибератака вече е наречена най-голямата в историята. Повече от 70 държави, десетки хиляди заразени компютри. Вирусът за рансъмуер на име Wanna Cry не щади никого. Под атака - болници, железници, държавни учреждения.

В Русия атаката беше най-масовата. Съобщенията, които идват сега, приличат на доклади от компютърните фронтове. От последното: Руските железници казаха, че вирусът се е опитал да проникне в тяхната ИТ система, той вече е локализиран и се опитват да го унищожат. Също така Централната банка, Министерството на вътрешните работи, Министерството на извънредните ситуации и комуникационните компании говориха за опити за хакерство.

Ето как изглежда вирусът, който парализира десетки хиляди компютри по света. Интуитивен интерфейс и текст, преведен на десетки езици - „Имате само три дни да платите“. Една злонамерена програма, която криптира файлове, изисква, според различни източници, от $300 до $600, за да ги отключи. Само в кибер валута. Изнудване буквално на границата на живота и смъртта.

„Бях напълно готов за операцията, дори IV вече беше инсталиран и тогава хирургът идва и казва, че имат проблеми с оборудването поради кибератаката“, казва Патрик Уорд.

Ваксини за компютърен вируснито са открити в четиридесетте британски клиники, които са били атакувани първи, нито в най-голямата испанска телекомуникационна компания Telefonica. Следи, както казват експертите, от една от най-големите хакерски атаки в световната история, дори върху таблата на гарите в Германия. В един от седемте диспечерски центъра на германския железопътен превозвач Deutsche Bahn системата за управление излезе от строя. Последиците могат да бъдат катастрофални.

Общо 74 държави вече са станали жертви на кибератаката. Само Африка и няколко държави в Азия и Латинска Америка не бяха докоснати. Наистина ли е само за сега?

„Всичко това се прави, за да се съберат пари за организираната престъпност. Няма политическа основа или скрит мотив. Чисто изнудване ”, казва Бен Рап, антивирусен експерт в ИТ компания.

Британските медии обаче веднага откриха политически мотив. И те обвиниха руските хакери за всичко, макар и без никакви доказателства, свързвайки кибератаката с американския въздушен удар по Сирия. Твърди се, че вирусът ransomware е станал отмъщението на Москва. В същото време според същите британски медии Русия пострада най-много при тази атака. И с това, абсолютно, е трудно да се спори. Само в Министерството на вътрешните работи бяха атакувани над хиляда компютъра. Това обаче беше неуспешно.

Отблъснахме атаките в Министерството на извънредните ситуации и Министерството на здравеопазването, в Сбербанк и в Мегафон. Мобилен оператордори спря за известно време работата на кол центъра.

„Президентският указ за създаването на руския сегмент на мрежата е затворен интернет около държавни служители. Защитата стои зад този щит от дълго време. Шансовете са, мисля, пострадали прости компютриобикновени служители. Малко вероятно е достъпът до базите данни да е пострадал - те, като правило, на други операционна системаи като правило са с доставчици “, каза Герман Клименко, съветник на президента на Русия по интернет развитие.

Програмата, според разработчиците на антивирусен софтуер, заразява компютъра, ако потребителят отвори подозрителен имейл и дори не е актуализирал Windows. Това ясно се вижда на примера със сериозно засегнат Китай - жителите на Средното кралство, както знаете, изпитват специална любов към пиратските операционни системи. Но струва ли си да плащате, като безмислено щракнете с мишката, задавате въпроса по целия свят

„Ако компанията няма архивиране, те могат да загубят достъп до данните. Тоест, например, ако база данни от болнични пациенти се съхранява заедно с медицински истории в едно копие на този сървър, където е влязъл вирус, тогава болницата няма да възстанови тези данни по никакъв начин “, казва Иля Скачков, експерт по киберсигурност.

Засега, както разбраха блогърите, в електронния портфейл на измамниците няма повече от четири хиляди долара. Малко, като се има предвид списъкът на жертвите - разходите за кракване на техните твърди дискове очевидно не са сравними. Британското издание Financial Times предполага, че вирусът ransomware не е нищо повече от злонамерена програма, модифицирана от нападателите на Агенцията за национална сигурност на САЩ. След като е създаден с цел да проникне в затворените американски системи. Това потвърди и бившият му служител Едуард Сноудън.

От Twitter на Сноудън: „Уау, решението на NSA да създаде инструменти за атака върху американски софтуер сега застрашава живота на болничните пациенти“.

WikiLeaks обаче също многократно предупреждава, че от маниакално желание да държат под око целия свят, американските разузнавателни служби разпространяват зловреден софтуер. Но дори и това да не е така, възниква въпросът как софтуерът на NSA попада в ръцете на нападателите. Друго също е интересно. Друга американска разузнавателна агенция, Министерството на вътрешната сигурност, предлага да спаси света от вируса.

Както и да е, истинският мащаб на тази атака тепърва ще бъде оценен. Заразяването на компютрите по целия свят продължава. Има само една "ваксина" - предпазливост и предпазливост. Важно е да не отваряте подозрителни прикачени файлове. В същото време експерти предупреждават: ще има още. Честотата и мащабът на кибератаките само ще се увеличават.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) е злонамерена програма, мрежов червей и ransomware. Програмата криптира почти всички файлове, съхранявани на компютъра, и изисква откуп за тяхното декриптиране. Зловредни програмиПрез последните години са регистрирани огромен брой от този тип, но WannaCry се откроява на фона им с мащаба на разпространението си и използваните техники.

Този вирус рансъмуер започна да се разпространява около 10 часа сутринта и вечерта на 12 май медиите започнаха да съобщават за множество инфекции. Различни публикации пишат, че е извършена хакерска атака срещу най-големите холдинги, включително Сбербанк.

Въпрос на потребител. „Текущият ми личен лаптоп, работещ с Windows 7 Home Premium, инсталира автоматично различни пачове, когато го изключа...

И моят таблет W10 автоматично инсталира нови пачове, когато е включен... Корпоративните настолни компютри не актуализират ли автоматично своята операционна система, когато я включат или изключат?" Наистина ли - защо?

След известно време пълният набор от експлойти беше публично достъпен заедно с обучителни видеоклипове. Всеки може да го използва. Което точно се случи. Комплектът за експлоатиране включва инструмента DoublePulsar. С отворен порт 445 и не инсталирана актуализация MS 17-010, използвайки уязвимост на класа за отдалечено изпълнение на код (способността за отдалечено заразяване на компютър (NSA EternalBlue exploit)), е възможно да се прихващат системни повиквания и да се инжектира злонамерен код в паметта. Няма нужда да получавате никакви електронна поща- ако имате компютър с достъп до Интернет, работещ с услугата SMBv1 и без инсталирана корекция MS17-010, нападателят ще ви намери сам (например чрез атаки с груба сила).

Анализ на WannaCry

Троянският кон WannaCry (известен още като WannaCrypt) криптира файлове с определени разширения на компютър и изисква откуп от $300 в биткойни. Дават се три дни за плащане, след което сумата се удвоява.

За криптиране се използва американският алгоритъм AES със 128-битов ключ.

В тестов режим криптирането се извършва с помощта на втори RSA ключ, вграден в троянския кон. В тази връзка е възможно декриптиране на тестови файлове.

Няколко файла са избрани на случаен принцип по време на процеса на криптиране. Троянецът предлага да ги дешифрира безплатно, за да може жертвата да се увери, че останалите могат да бъдат дешифрирани след плащането на откупа.

Но тези примерни файлове и останалите са криптирани с различни ключове. Следователно няма гаранция за декриптиране!

Признаци на инфекция с WannaCry

Веднъж на компютър, троянецът работи като система услуга за windowsс име mssecsvc2.0 (видимото име е услуга Microsoft Security Center (2.0)).

Червеят е способен да приема аргументи командна линия... Ако е посочен поне един аргумент, се опитва да отвори услугата mssecsvc2.0 и да я конфигурира да се рестартира при грешка.

Веднъж стартиран, той се опитва да преименува файла C: \ WINDOWS \ tasksche.exe на C: \ WINDOWS \ qeriuwjhrf, записва от ресурсите на троянския кодер във файла C: \ WINDOWS \ tasksche.exe и го стартира с параметъра / i . По време на стартирането троянецът получава IP адреса на заразената машина и се опитва да се свърже с TCP порт 445 на всеки IP адрес в подмрежата - търси машини във вътрешната мрежа и се опитва да ги зарази.

24 часа след стартирането му като системна услуга, червеят излиза автоматично.

За собственото си разпространение, зловредният софтуер инициализира Windows Sockets, CryptoAPI и стартира няколко нишки. Един от тях изброява всичко мрежови интерфейсина заразения компютър и анкетира наличните хостове в локалната мрежа, останалите генерират произволни IP адреси. Червеят се опитва да се свърже с тези отдалечени хостове, използвайки порт 445. Ако е наличен, той заразява мрежови хостове, използвайки уязвимост в протокола SMB в отделна нишка.

Веднага след стартирането, червеят се опитва да изпрати заявка до отдалечен сървър, чийто домейн се съхранява в троянския кон. Ако се получи отговор на това искане, то се прекратява.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Защита срещу WannaCrypt и друг ransomware

За да се предпазите от рансъмуер WannaCry и бъдещите му модификации, трябва:

1. Деактивирайте неизползваните услуги, включително SMB v1.

• Възможно е да деактивирате SMBv1 с помощта на PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $ false
• Чрез регистъра:
  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметри, SMB1 параметър от тип DWORD = 0
• Можете също да изтриете самата услуга, отговорна за SMBv1 (да, отделна услуга от SMBv2 е лично отговорна за нея):
  sc.exe конфигурация lanmanworkstation зависи = bowser / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start = деактивирано

1. Затворете неизползваните мрежови портове със защитна стена, включително портове 135, 137, 138, 139, 445 (SMB портове).

Фигура 2. Пример за блокиране на порт 445 със защитна стенаWindows

Фигура 3. Пример за блокиране на порт 445 със защитна стенаWindows

1. Ограничете достъпа на приложението до интернет с помощта на антивирусна или защитна стена.

Фигура 4. Пример за ограничаване на достъпа до интернет до приложение с помощта на защитна стена на Windows