Izbira urednika

Wannacry virus - kako se zaščititi in obnoviti podatke [brez izgube]

Če vaš računalnik ali več naprav v vašem domu oz delovno omrežje prizadel virus Wannacry - preberite naš članek.

Tukaj boste izvedeli, kako se zaščititi in preprečiti okužbo ter kako pravilno dešifrirati šifrirane podatke.

Pomembnost tega znanja potrjujejo podatki o več kot 150.000 okuženih računalnikih v letu 2017, v operacijskem sistemu katerih zlonamerna koda WC.

In čeprav je bilo globalno širjenje grožnje ustavljeno, je možno, da bo naslednja različica izsiljevalske programske opreme postala še učinkovitejša in na njen pojav se je vredno pripraviti vnaprej.

Vsebina:

Posledice

Prvi znaki okužbe z ransomware na računalnikih so bili odkriti 12. maja 2017, ko je neznani program posegel v delo na tisoče uporabnikov in na stotine različnih organizacij po vsem svetu.

Zlonamerna koda se je začela širiti ob 8. uri zjutraj in v prvem dnevu okužila več kot 50.000 osebnih računalnikov z .

Večina okužb je bila v - čeprav so prvi podatki prišli iz Združenega kraljestva, med prizadetimi organizacijami pa so bila španska in portugalska telekomunikacijska podjetja in celo proizvajalec avtomobilov "Renault".

V Rusiji je napadel operaterje mobilne komunikacije "megafon", "Beeline" in "jota", Ministrstvo za izredne razmere, Ministrstvo za notranje zadeve in Uprava za železnice.

Zaradi tega so bili v nekaterih regijah države odpovedani izpiti za vozniško dovoljenje, številne organizacije pa so začasno prekinile svoje delo.

Registracija imena domene, zapisanega v kodi virusa, dovoljeno ustaviti njegovo distribucijo. Po tem program ni mogel več dostopati do določene domene in ni deloval. Res je, tik pred izidom nova različica, kjer ni bilo več predpisano nasloviti na določen naslov.

Zahteve razvijalcev zlonamerne programske opreme

Posledica računalniške okužbe je bila blokada večine računalnikov, ki se nahajajo na njih. trdi diski datoteke.

Zaradi nezmožnosti uporabe informacij so uporabniki celo ime aplikacije WannaCry prevedli kot "Želim jokati", vendar ne "Želim šifrirati"(Wanna Cryptor), kot je v resnici bilo.

Toda glede na to, da nedešifriranih datotek ni bilo mogoče obnoviti z veliko verjetnostjo, se je zdela možnost po meri primernejša.

Na namizju okuženega računalnika se je pojavil Windows, ki je zahteval plačilo prevarantom za odklepanje informacij.

Sprva so napadalci zahtevali le 300 $, čez nekaj časa se je znesek povečal na 500 $ - in po plačilu ni bilo nobenega zagotovila, da se napad ne bo ponovil - navsezadnje je bil računalnik še vedno okužen.

Toda, če zavrnete plačilo, so šifrirani podatki izginili 12 ur po pojavu opozorila.

Načini širjenja grožnje

Razvijalci zlonamerne programske opreme so uporabili ranljivost v tem operacijskem sistemu, ki je bila odpravljena s posodobitvijo MS17-010, da bi okužili računalnike z operacijskim sistemom Windows.

Žrtve so bili predvsem tisti uporabniki, ki tega popravka marca 2017 niso namestili.

Po namestitvi (ročni ali avtomatski) posodobitve je bil oddaljen dostop do računalnika zaprt.

Hkrati marčevski popravek ni v celoti zaščitil operacijskega sistema. Še posebej, če ga uporabnik sam odpre – na ta način se je tudi širil virus.

In potem, ko je okužil en računalnik, se je virus še naprej širil v iskanju ranljivosti - zato so se za najbolj ranljive izkazale ne posamezni uporabniki, ampak velika podjetja.

Preprečevanje okužb

Kljub resni nevarnosti okužbe z virusom (in njegovimi novimi različicami) na skoraj vsakem računalniku, obstaja več načinov, kako se izogniti okužbi sistema.

Če želite to narediti, je treba sprejeti naslednje ukrepe:

• preverite, ali so nameščeni najnovejši varnostni popravki, in če manjkajo, jih dodajte ročno. Po tem ne pozabite omogočiti samodejno posodabljanje- najverjetneje je bila ta možnost onemogočena;

• ne odpirajte e-poštnih sporočil s prilogami neznanih uporabnikov;
• ne sledite sumljivim povezavam - še posebej, če protivirusni program opozori na njihovo nevarnost;
• namestite visokokakovosten protivirusni program - na primer ali največji odstotek zaznave Bath Edge. Večina manj znanih in predvsem brezplačne aplikacije slabše zaščititi platformo;

• po okužbi takoj izključite računalnik iz interneta in še posebej iz lokalno omrežje, ki ščiti druge naprave pred širjenjem izsiljevalske programske opreme.

Poleg tega bi moral uporabnik občasno shraniti pomembne podatke z ustvarjanjem varnostnih kopij.

Če je mogoče, je vredno kopirati podatke na bliskovne pogone USB, pomnilniške kartice in ne (zunanje ali odstranljive notranje).

Če je mogoče obnoviti podatke, bo škoda zaradi virusa minimalna - če je računalnik okužen, je dovolj, da preprosto formatirate njegovo pomnilniško napravo.

Zdravljenje okuženega osebnega računalnika

Če je računalnik že okužen, naj ga uporabnik poskusi ozdraviti tako, da se znebi posledic dejanja WannaCry.

Konec koncev, ko virusni program vstopi v sistem, se to zgodi s spremembo njihovih razširitev.

Pri poskusu zagona aplikacij ali odpiranja dokumentov uporabniku ne uspe, zaradi česar razmišlja o rešitvi težave s plačilom zahtevanih 500 $.

Glavni korake za reševanje problemov:

1 Zagon storitev, vgrajenih v operacijski sistem Windows. Možnost pozitivnega rezultata v tem primeru je majhna, zato boste najverjetneje morali uporabiti druge možnosti;

2 Ponovna namestitev sistema. V tem primeru je treba vse formatirati - možno je, da se v tem primeru izgubijo vse informacije;

3 Prehod na dešifriranje podatkov– ta možnost se uporablja, če so na disku pomembni podatki.

4 Postopek obnovitve datoteke začne s prenosom ustreznih posodobitev in prekinitvijo povezave z internetom. Po tem mora uporabnik zagnati ukazno vrstico (preko "Začni" in oddelek "Standard" ali preko menija "teči" in ) in blokira vrata 445, s čimer blokira pot virusu. To lahko storite z vnosom ukaza netsh advfirewall požarni zid dodaj pravilo dir=in action=block protocol=tcp localport=445 name="Block_TCP-445.

5 Zdaj sledi teči .Če želite to narediti, med nalaganjem držite tipko F8 pojdite v meni Start računalnika in izberite ustrezen element. V tem načinu se odpre mapa z zlonamerno kodo, ki se nahaja z virusno bližnjico, ki se je pojavila na namizju. Ko izbrišete vse datoteke v imeniku, morate znova zagnati sistem in znova vklopiti internet.

Dešifriranje datoteke

Ko je delo WannaCry ustavljeno, mora uporabnik obnoviti vse šifrirane datoteke.

Omeniti velja, da je zdaj za to veliko več časa kot 12 ur - zato, če podatkov ne morete vrniti sami, se lahko v nekaj dneh ali mesecih obrnete na strokovnjake.

Najboljša možnost- obnavljanje podatkov iz varnostnih kopij. Če uporabnik ni predvidel možnosti okužbe in ni kopiral pomembnih podatkov, je treba dešifrirati prenesti:

• Shadow Explorer, katerega delovanje temelji na obnovitvi "senčnih" kopij datotek (predvsem dokumentov);

riž. 6. Zagon programa

sl.7. Delovna cona

riž. 8. Zagon postopka obnovitve

Virus Wanna Cry je nova vrsta hekerske zlonamerne programske opreme, zaradi katere so se zgrozili uporabniki osebnih računalnikov in interneta po vsem svetu. Kako deluje virus Wanna Cry, ali se je mogoče pred njim zaščititi in če da, kako?

Opis virusa Wanna Cry– vrsta zlonamerne programske opreme, ki spada v kategorijo ransomware, ransomware. Ob udarcu trdi diskžrtev, Wanna Cry deluje po scenariju svojih "kolegov", kot npr TrojanRansom.Win32.zip, ki šifrira vse osebne podatke vseh znane razširitve. Ko si poskuša ogledati datoteko, uporabnik na zaslonu vidi zahtevo za plačilo n-tega zneska denarja, po tem naj bi napadalec poslal navodila za odklepanje.

Pogosto se izsiljevanje denarja izvaja s SMS dopolnitvijo posebej ustvarjenega računa, v zadnjem času pa se za to uporablja anonimna plačilna storitev. bitcoin.

Wanna Cry virus - kako deluje. Wanna Cry je program, imenovan WanaCrypt0r 2.0, ki napada izključno osebne računalnike v OC Windows. Program uporablja "luknjo" v sistemu za prodor - Microsoftov varnostni bilten MS17-010 katerega obstoj je bil prej neznan. Na ta trenutek ni zagotovo znano, kako so hekerji odkrili ranljivost MS17-010. Obstaja različica o sabotaži proizvajalcev protivirusne programske opreme za ohranjanje povpraševanja, vendar seveda nihče ne odpiše inteligence samih hekerjev.

Na žalost se širjenje virusa Wanna Cry izvaja na najpreprostejši način - skozi E-naslov. Ko odprete neželeno e-pošto, se zažene kodirnik in šifriranih datotek po tem je skoraj nemogoče obnoviti.

Wanna Cry virus - kako se zaščititi, zdravljenje. WanaCrypt0r 2.0 pri napadu izkorišča ranljivosti v omrežnih storitvah Windows. Znano je, da je Microsoft že izdal "popravek" - samo zaženite posodobitev posodobitev za Windows prej Najnovejša različica. Omeniti velja, da lahko samo uporabniki, ki so kupili licenco, zaščitijo svoj računalnik in podatke. različica sistema Windows- ko poskušate posodobiti "pirata", sistem preprosto ne bo opravil testa. Prav tako se morate spomniti, da Windows XP ni več posodobljen, kot seveda in starejše različice.

Pred Wanna Cry se lahko zaščitite z upoštevanjem nekaj preprostih pravil:

• pravočasno posodobite sistem – vsi okuženi računalniki niso bili posodobljeni
• uporabite licenciran OS
• ne odpirajte sumljivih e-poštnih sporočil
• ne klikajte na sumljive povezave, ki so jih pustili nezaupljivi uporabniki

Po poročanju medijev bodo proizvajalci protivirusne programske opreme izdali posodobitve za boj proti Wanna Cry, zato tudi posodobitve protivirusne programske opreme ne bi smeli odlagati.

WannaCry- poseben program, ki blokira vse podatke v sistemu, uporabniku pa pusti le dve datoteki: navodila, kaj storiti naprej, in sam program Wanna Decryptor – orodje za odklepanje podatkov.

Večina podjetij za računalniško varnost ima orodja za dešifriranje izsiljevalske programske opreme, ki jih lahko zaobide programsko opremo. Za navadne smrtnike način »zdravljenja« še ni znan.

WannaCry Decryptor ( oz WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), imenovan že "virus leta 2017". In to sploh ni nerazumno. Samo v prvih 24 urah od začetka distribucije je ta izsiljevalska programska oprema zadela več kot 45.000 računalnikov. Nekateri raziskovalci menijo, da je trenutno (15. maja) okuženih že več kot milijon računalnikov in strežnikov. Spomnimo, virus se je začel širiti 12. maja. Prvi so prizadeli uporabniki iz Rusije, Ukrajine, Indije in Tajvana. Hkrati se virus z veliko hitrostjo širi po Evropi, ZDA in na Kitajskem.

Podatki o računalnikih in strežnikih so bili šifrirani javne ustanove(zlasti Ministrstvo za notranje zadeve Rusije), bolnišnice, transnacionalne družbe, univerze in šole.

Wana Decryptor (Wanna Cry ali Wana Decrypt0r) je ohromil delo na stotine podjetij in vladnih agencij po vsem svetu

V bistvu je WinCry (WannaCry) izkoriščanje družine EternalBlue, ki uporablja precej staro ranljivost v operacijskem sistemu Windows (Windows XP, Windows Vista, Windows 7, Windows 8 in Windows 10) in se tiho zažene v sistem. Nato z uporabo algoritmov, odpornih na dešifriranje, šifrira uporabniške podatke (dokumente, fotografije, videoposnetke, preglednice, baze podatkov) in zahteva odkupnino za dešifriranje podatkov. Shema ni nova, nenehno pišemo o novih različicah šifrirnikov datotek - toda tukaj je nova metoda distribucije. In to je privedlo do epidemije.

Kako virus deluje

Zlonamerna programska oprema pregleduje gostitelje na internetu in išče računalnike z odprtimi vrati TCP 445, ki so odgovorna za servisiranje SMB protokol v1. Ko je našel tak računalnik, program večkrat poskusi izkoristiti ranljivost EternalBlue na njem in, če uspe, namesti backdoor DoublePulsar, prek katerega se naloži in zažene izvedljiva koda programa WannaCry. Pri vsakem poskusu izkoriščanja zlonamerna programska oprema preveri prisotnost DoublePulsarja v ciljnem računalniku in se, če je zaznana, naloži neposredno skozi ta zaledna vrata.

Mimogrede, teh poti moderna ne sledi protivirusni programi, zaradi česar je bila okužba tako množična. In to je ogromen kamen na vrtu razvijalcev protivirusne programske opreme. Kako je bilo to mogoče dovoliti? Za kaj jemlješ denar?

Po zagonu zlonamerna programska oprema deluje kot klasična izsiljevalska programska oprema: ustvari edinstven par asimetričnih ključev RSA-2048 za vsak okuženi računalnik. Nato WannaCry začne skenirati sistem in išče uporabniške datoteke določenih vrst, pri čemer tiste, ki so ključne za njegovo nadaljnje delovanje, ostanejo nedotaknjene. Vsaka izbrana datoteka je šifrirana z algoritmom AES-128-CBC z edinstvenim (naključnim) ključem za vsako od njih, ta pa je šifriran z javnim RSA ključem okuženega sistema in shranjen v glavi šifrirane datoteke. Hkrati se vsaki šifrirani datoteki doda razširitev. .wncry. Par ključev RSA okuženega sistema se šifrira z javnim ključem napadalca in pošlje na njihove nadzorne strežnike, ki se nahajajo v omrežju Tor, nato pa se vsi ključi izbrišejo iz pomnilnika okuženega računalnika. Po zaključku postopka šifriranja program prikaže okno z zahtevo za prenos določenega zneska v bitcoinih (kar ustreza 300 ameriškim dolarjem) v določeno denarnico v treh dneh. Če odkupnina ne bo prejeta pravočasno, se njen znesek samodejno podvoji. Sedmi dan, če WannaCry ni odstranjen iz okuženega sistema, se šifrirane datoteke uničijo. Sporočilo se prikaže v jeziku, ki se ujema z jezikom, nameščenim v računalniku. Program skupaj podpira 28 jezikov. Skupaj s šifriranjem program skenira poljubne internetne in lokalne omrežne naslove za kasnejšo okužbo novih računalnikov.

Glede na študijo, ki jo je izvedel Symantec, je napadalčev algoritem za sledenje posameznim izplačilom vsake žrtve in pošiljanje ključa za dešifriranje implementiran z napako v stanju dirke. Zaradi tega so plačila odkupnine nesmiselna, saj posamezni ključi vseeno ne bodo poslani, datoteke pa bodo ostale šifrirane. Vendar pa obstaja zanesljiva metoda za dešifriranje uporabniških datotek, manjših od 200 MB, pa tudi nekaj možnosti za obnovitev večjih datotek. Poleg tega na zastarelih sistemi Windows XP in Windows Server 2003 je zaradi posebnosti implementacije algoritma za izračun psevdonaključnih števil v sistemu mogoče celo obnoviti zasebne ključe RSA in dešifrirati vse prizadete datoteke, če računalnik ni bil ponovno zagnan od trenutka okužbe. Pozneje je skupina francoskih strokovnjakov za kibernetsko varnost iz podjetja Comae Technologies to funkcijo razširila na Windows 7 in jo uveljavila z objavo pripomočka v javni domeni. WanaKiwi, ki omogoča dešifriranje datotek brez odkupnine.

V kodi prejšnjih različic programa je bil zagotovljen mehanizem za samouničenje, tako imenovano Kill Switch - program je preveril razpoložljivost dveh določenih internetnih domen in je bil, če sploh, popolnoma odstranjen iz računalnika. To je 12. maja 2017 prvič odkril Marcus Hutchins (Angleščina) ruski , 22-letni virusni analitik v britanskem podjetju Kryptos Logic, je tvitnil pod ročico @MalwareTechBlog in na svoje ime registriral eno od domen. Tako mu je uspelo začasno delno blokirati distribucijo te modifikacije zlonamernega programa. 14. maja je bila registrirana tudi druga domena. V naslednjih različicah virusa je bil ta mehanizem za samodeaktivacijo odstranjen, vendar to ni bilo storjeno v izvirni različici. programsko kodo, in z urejanjem izvedljivo datoteko, kar nakazuje, da izvor tega popravka ni avtorjev izvirnega WannaCryja, temveč napadalci tretjih oseb. Posledično je bil mehanizem šifriranja poškodovan in ta različica črva se lahko širi samo sama in najde ranljive računalnike, ne more pa jim neposredno škodovati.

Visoka stopnja širjenja WannaCry, edinstvena za ransomware, je posledica ranljivosti, objavljene februarja 2017 omrežni protokol operacijski sistem SMB Microsoft Windows opisano v biltenu MS17-010. Če je v klasični shemi izsiljevalska programska oprema prišla v računalnik zaradi dejanj samega uporabnika prek e-pošte ali spletne povezave, potem je v primeru WannaCry udeležba uporabnika popolnoma izključena. Čas od odkritja ranljivega računalnika do njegove popolne okužbe je približno 3 minute.

Podjetje za razvijalce je potrdilo obstoj ranljivosti v absolutno vseh uporabniških in strežniških izdelkih, ki izvajajo protokol SMBv1 – začenši z Windows XP/Windows Server 2003 in konča z Windows 10/Windows Server 2016. 14. marca 2017 je Microsoft izdal serijo posodobitev, namenjenih nevtralizaciji ranljivosti v vseh podprtih operacijskih sistemih. Po distribuciji WannaCry je podjetje 13. maja naredilo korak brez primere, da je izdalo tudi posodobitve za izdelke s koncem podpore (Windows XP, Windows Server 2003 in Windows 8).

Širjenje virusa WannaCry

Virus se lahko širi na različne načine:

• prek enega samega računalniškega omrežja;
• Po pošti;
• Preko brskalnika.

Osebno mi ni čisto jasno zakaj. omrežno povezavo ne skenira protivirusni program. Isti način okužbe, kot z obiskom spletnega mesta ali brskalnika, dokazuje nemoč razvijalcev in dejstvo, da zahtevana sredstva za licenčno programsko opremo za zaščito osebnega računalnika nikakor niso upravičena.

Simptomi okužbe in zdravljenje virusa

Po uspešni namestitvi na uporabnikov računalnik se WannaCry poskuša razširiti po lokalnem omrežju na druge računalnike kot črv. Šifrirane datoteke prejmejo sistemsko pripono .WCRY in postanejo popolnoma neberljive in jih ni mogoče sami dešifrirati. Po popolnem šifriranju Wcry spremeni ozadje namizja in pusti "navodila" za dešifriranje datotek v mapah s šifriranimi podatki.

Sprva so hekerji izsilili 300 dolarjev za ključe za dešifriranje, nato pa so to številko dvignili na 600 dolarjev.

Kako preprečiti, da bi WannaCry Decryptor okužil vaš računalnik?

Prenesite posodobitev operacijskega sistema s spletnega mesta Microsoft.

Kaj storiti Ali je vaš računalnik okužen?

Uporabite spodnja navodila in poskusite obnoviti vsaj nekaj informacij na okuženem računalniku. Posodobite protivirusni program in namestite popravek operacijskega sistema. Dekoder za ta virus v naravi še ne obstaja. Močno ne priporočamo plačevanja odkupnine napadalcem - ni nobenega zagotovila, niti najmanjšega, da bodo po prejemu odkupnine dešifrirali vaše podatke.

Odstranite izsiljevalsko programsko opremo WannaCry s samodejnim čistilnikom

Ekskluzivno učinkovita metoda se ukvarjajo z zlonamerno programsko opremo na splošno in še posebej z izsiljevalsko programsko opremo. Uporaba preverjenega varnostnega kompleksa zagotavlja temeljitost odkrivanja vseh virusnih komponent, njihovih popolna odstranitev z enim klikom. Upoštevajte, da govorimo o dveh različnih procesih: odstranitvi okužbe in obnovitvi datotek na vašem računalniku. Vsekakor pa je grožnjo treba odstraniti, saj obstajajo informacije o uvajanju drugih računalniških trojanov z njeno pomočjo.

1. Prenesite programsko opremo za odstranjevanje virusov WannaCry. Po zagonu programske opreme kliknite gumb Zaženite skeniranje računalnika(Začni skeniranje). Prenesite programsko opremo za odstranjevanje ransomware WannaCry .
2. Nameščena programska oprema bo zagotovila poročilo o grožnjah, odkritih med skeniranjem. Če želite odstraniti vse najdene grožnje, izberite možnost Odpravi grožnje(Odstrani grožnje). Zadevna zlonamerna programska oprema bo v celoti odstranjena.

Obnovite dostop do šifriranih datotek

Kot smo že omenili, ransomware no_more_ransom zaklene datoteke z močnim algoritmom šifriranja, tako da šifriranih podatkov ni mogoče obnoviti z zamahom čarobne palice – če ne upoštevate plačila nezaslišane odkupnine. Toda nekatere metode lahko resnično postanejo reševalni reševalci, ki vam bodo pomagali obnoviti pomembne podatke. Spodaj se lahko seznanite z njimi.

Program samodejno okrevanje datoteke (dekoder)

Znana je zelo nenavadna okoliščina. Ta okužba izbriše izvirne datoteke v nešifrirani obliki. Izsiljevalski postopek šifriranja tako cilja na njihove kopije. To daje priložnost za takšne programska orodja kako Data Recovery Pro obnovite izbrisane predmete, tudi če je zagotovljena zanesljivost njihove odstranitve. Zelo priporočljivo je, da se zatečete k postopku obnovitve datotek, njegova učinkovitost je nedvomna.

Zvezne senčne kopije

Pristop temelji na postopku Windows Rezervna kopija datoteke, ki se ponavlja v vsaki obnovitveni točki. Pomemben pogoj za delovanje te metode: pred okužbo mora biti aktivirana funkcija "Obnovitev sistema". Vendar pa kakršne koli spremembe datoteke po obnovitveni točki ne bodo prikazane v obnovljeni različici datoteke.

Rezerva

To je najboljše med vsemi načini brez odkupa. Če je bil postopek za varnostno kopiranje podatkov na zunanji strežnik uporabljen, preden je izsiljevalska programska oprema napadla vaš računalnik, morate za obnovitev šifriranih datotek preprosto vnesti ustrezen vmesnik, izbrati potrebne datoteke in zagnati mehanizem za obnovitev podatkov iz varnostne kopije. Pred izvedbo operacije se morate prepričati, da je izsiljevalska programska oprema popolnoma odstranjena.

Preverite morebitne preostale komponente izsiljevalske programske opreme WannaCry

Ročno čiščenje je polno tveganja manjkajočih kosov izsiljevalske programske opreme, ki se lahko izognejo odstranitvi v obliki skritih predmetov operacijskega sistema ali vnosov v register. Če želite odpraviti tveganje delnega ohranjanja posameznih zlonamernih elementov, skenirajte svoj računalnik z uporabo zanesljivega varnostnega programskega paketa, ki je specializiran za zlonamerno programsko opremo.

Dešifriranje

Vendar ni podatkov od tistih, ki so plačali za dešifriranje, tako kot ni podatkov o nameri hekerjev, da bi pomirili dušo ljudi in dešifrirali podatke po plačilu ((((

Toda na Habréju so bile informacije o principu delovanja gumba Decrypt, pa tudi o tem, da napadalci ne morejo identificirati uporabnikov, ki so poslali biletne kroglice, kar pomeni, da nihče ne bo ničesar obnovil žrtvam:

»Kriptor ustvari dve vrsti datotek: prvič, del je šifriran s 128-bitnim AES-om, medtem ko je ustvarjen ključ za dešifriranje priložen neposredno šifrirani datoteki. Za datoteke, šifrirane na ta način, kriptor poda razširitev .wncyr in jih nato dešifrira, ko kliknete na Decrypt. Večina šifriranega dobi razširitev .wncry in ni ključa.
Šifriranje v tem primeru ne poteka v sami datoteki, temveč se najprej ustvari datoteka na disku, kamor se postavi šifrirana vsebina, nato pa se izvirna datoteka izbriše. V skladu s tem nekaj časa obstaja možnost obnovitve dela podatkov z različnimi pripomočki za povrnitev brisanja.
Za boj proti takšnim pripomočkom kriptor nenehno zapisuje vse preostale smeti na disk, tako da prostor na disku dovolj hitro izgine.
In zato še vedno ni informacij o plačilu in mehanizmih za njegovo preverjanje, to je res presenetljivo. Morda vpliva precej spodoben znesek (300 $), ki je potreben za takšen pregled.

Ustvarjalci virusa WannaCry so zaobšli začasno zaščito v obliki nesmiselne domene

Ustvarjalci ransomware virusa WannaCry, ki je prizadel računalnike v več kot 70 državah, so izdali njegovo novo različico. Manjka mu koda za dostop do nesmiselne domene, ki je preprečila širjenje izvirnega virusa, piše Motherboard. Publikacija je prejela potrdilo o pojavu nove različice virusa od dveh strokovnjakov, ki sta preučevala nove primere računalniške okužbe. Eden izmed njih je Costin Raiu, vodja mednarodne raziskovalne skupine pri Kaspersky Labu.

Strokovnjaki niso navedli, ali so se v WannaCryju pojavile še kakšne druge spremembe.

Ta kibernetski napad so že imenovali za največjega v zgodovini. Več kot 70 držav, več deset tisoč okuženih računalnikov. Virus izsiljevalske programske opreme z imenom Wanna Cry (»Želim jokati«) ne prizanaša nikomur. Pod napadom - bolnišnice, železnice, vladne agencije.

V Rusiji je bil napad najbolj množičen. Sporočila, ki zdaj prihajajo, spominjajo na poročila z računalniških front. Od zadnjega: Ruske železnice so povedale, da je virus poskušal prodreti v njihov IT sistem, je že lokaliziran in ga poskušajo uničiti. O poskusih hekerja so razpravljali tudi v Centralni banki, Ministrstvu za notranje zadeve, Ministrstvu za izredne razmere in komunikacijskih podjetjih.

Tako je videti virus, ki je ohromil več deset tisoč računalnikov po vsem svetu. Jasen vmesnik in besedilo, prevedeno v desetine jezikov - "imate samo tri dni za plačilo." Zlonamerni program, ki šifrira datoteke, zahteva po različnih virih od 300 do 600 dolarjev, da jih odklene. Samo v kibernetski valuti. Izsiljevanje je dobesedno na meji življenja in smrti.

»Bil sem popolnoma pripravljen na operacijo, celo kapalko so že postavili, potem pa pride kirurg in pove, da imajo težave z opremo zaradi kibernetskega napada,« pravi Patrick Ward.

Cepiva iz računalniški virus niti v štiridesetih britanskih klinikah, ki so bile napadene prve, niti v največjem španskem telekomunikacijskem podjetju Telefonika. Sledi, kot pravijo strokovnjaki, enega največjih hekerskih napadov v svetovni zgodovini, celo na semaforjih železniških postaj v Nemčiji. V enem od sedmih nadzornih centrov nemškega železniškega prevoznika Deutsche Bahn je odpovedal nadzorni sistem. Posledice so lahko katastrofalne.

Skupno je 74 držav že postalo žrtev kibernetskih napadov. Nedotaknjena razen Afrike in več držav v Aziji in Latinski Ameriki. Je to samo zaenkrat?

»Vse to se naredi za pridobivanje denarja od organiziranega kriminala. Ni političnega ozadja ali skritih motivov. Čisto izsiljevanje,« pravi strokovnjak za protivirusne programe IT podjetja Ben Rapp.

Britanski mediji pa so takoj našli politično ozadje. In za vse so krivili ruske hekerje, vendar brez dokazov, ki povezujejo kibernetski napad z ameriškim zračnim napadom v Siriji. Domnevno je virus izsiljevalske programske opreme postal maščevanje Moskve. Hkrati je po poročanju istih britanskih medijev v tem napadu najbolj trpela Rusija. In temu je zagotovo težko trditi. Samo na ministrstvu za notranje zadeve je bilo napadenih več kot tisoč računalnikov. Vendar brez uspeha.

Odbili smo napade na Ministrstvu za izredne razmere in Ministrstvu za zdravje, v Sberbank in Megafonu. Mobilni operater celo za nekaj časa prekinil delo klicnega centra.

"Predsedniški odlok o ustanovitvi ruskega segmenta omrežja je zaprt internet okoli vladnih uradnikov. Obramba je že dolgo za tem ščitom. Najverjetneje, mislim, da je trpel preprosti računalniki redni zaposleni. Malo verjetno je, da bi trpel dostop do baz podatkov - praviloma so na drugem operacijski sistemi in so praviloma pri ponudnikih,« je povedal German Klimenko, svetovalec ruskega predsednika za razvoj interneta.

Program po mnenju razvijalcev protivirusnih programov okuži računalnik, če je uporabnik odprl sumljivo pismo in celo ni posodobil sistema Windows. To se jasno vidi na primeru resno prizadete Kitajske - prebivalci Nebeškega cesarstva, kot veste, imajo posebno ljubezen do piratskih operacijskih sistemov. Toda ali je vredno plačati, nepremišljeno klikanje z miško, se sprašujejo po vsem svetu

"Če podjetje ne rezerva, lahko izgubijo dostop do podatkov. To pomeni, da če je na primer baza podatkov bolnišničnih bolnikov skupaj z zgodovinami primerov shranjena v enem izvodu na tem strežniku, kamor je virus prišel, potem bolnišnica teh podatkov na noben način ne bo več obnavljala,« pravi strokovnjak za kibernetsko varnost Ilya Skachkov.

Zaenkrat, kot so ugotovili blogerji, v elektronski denarnici prevarantov ni več kot štiri tisoč dolarjev. Malenkost, glede na seznam žrtev - stroški vdora v njihove trde diske očitno niso primerljivi. Britanska izdaja Financial Timesa je predlagala, da virus ransomware ni nič drugega kot zlonamerni program ameriške agencije za nacionalno varnost, ki so ga spremenili kibernetski kriminalci. Ko je bil ustvarjen, da bi prodrl v zaprte ameriške sisteme. To je potrdil tudi njegov nekdanji uslužbenec Edward Snowden.

S Snowdenovega Twitterja: "Vau, odločitev NSA, da ustvari orodja za napad na ameriško programsko opremo, zdaj ogroža življenja bolnišničnih bolnikov."

WikiLeaks pa je tudi večkrat opozoril, da ameriške obveščevalne agencije zaradi manične želje po spremljanju celega sveta širijo zlonamerno programsko opremo. A tudi če temu ni tako, se postavlja vprašanje, kako programi NSA padejo v napačne roke. Zanimivo in še kaj. Rešiti svet pred virusom ponuja še ena ameriška obveščevalna agencija - Ministrstvo za domovinsko varnost.

Kakorkoli že, resnični obseg tega napada je treba še oceniti. Okužba računalnikov po vsem svetu se nadaljuje. Obstaja samo eno "cepivo" - previdnost in predvidevanje. Pomembno je, da ne odpirate sumljivih prilog. Ob tem strokovnjaki opozarjajo, da jih bo še več. Pogostost in obseg kibernetskih napadov se bosta le še povečevala.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) je zlonamerna programska oprema, omrežni črv in izsiljevalska programska oprema. Program šifrira skoraj vse datoteke, shranjene v računalniku, in zahteva odkupnino za njihovo dešifriranje. Zlonamerna programska oprema V zadnjih letih je bilo registriranih ogromno tovrstnih vrst, a WannaCry na njihovem ozadju izstopa po obsegu distribucije in uporabljenih tehnikah.

Ta virus ransomware se je začel širiti okoli 10. ure zjutraj, 12. maja zvečer pa so mediji začeli poročati o številnih okužbah. Različne publikacije pišejo, da je bil izveden hekerski napad na največje holdinge, vključno s Sberbank.

Vprašanje uporabnika. »Moj trenutni osebni prenosnik z operacijskim sistemom Windows 7 Home Premium samodejno namesti vse vrste popravkov, ko ga izklopim ...

Tudi moja tablica W10 samodejno namesti nove popravke, ko je vklopljena... Ali namizni računalniki podjetja ne posodabljajo samodejno svojih operacijskih sistemov, ko so vklopljeni ali izklopljeni? res - zakaj

Čez čas polni set Podvigi so bili objavljeni javnosti skupaj z videoposnetki za usposabljanje. Vsakdo ga lahko uporablja. Kaj se je zgodilo. Komplet za izkoriščanje vključuje orodje DoublePulsar. Z odprtimi vrati 445 in ne nameščeno posodobitev MS 17-010, z uporabo ranljivosti razreda izvajanja kode na daljavo (možnost okuženja računalnika na daljavo (izkoriščanje NSA EternalBlue)), je mogoče prestreči sistemske klice in vnesti zlonamerno kodo v pomnilnik. Ni vam treba prejeti nobenega E-naslov- če imate računalnik z dostopom do interneta, z zagnano storitvijo SMBv1 in brez nameščenega popravka MS17-010, vas bo napadalec sam našel (na primer z iskanjem po naslovih).

Analiza WannaCry

Trojanec WannaCry (aka WannaCrypt) šifrira datoteke z določenimi razširitvami v računalniku in zahteva odkupnino v višini 300 $ v bitcoinih. Za plačilo so na voljo trije dni, nato se znesek podvoji.

Za šifriranje se uporablja ameriški algoritem AES s 128-bitnim ključem.

V testnem načinu se šifriranje izvede z uporabo drugega ključa RSA, ki je vgrajen v trojanec. V zvezi s tem je možno dešifriranje testnih datotek.

Med postopkom šifriranja je naključno izbranih več datotek. Trojanec jih ponuja brezplačno dešifriranje, tako da je žrtev prepričana, da je preostanek mogoče dešifrirati po plačilu odkupnine.

Toda te selektivne datoteke in ostale so šifrirane z različnimi ključi. Zato ni nobenega zagotovila za dešifriranje!

Znaki okužbe z WannaCry

Ko je v računalniku, trojanec deluje kot sistem storitev Windows z imenom mssecsvc2.0 (vidno ime je storitev Microsoft Security Center (2.0)).

Črv je sposoben sprejeti argumente ukazna vrstica. Če je podan vsaj en argument, poskuša odpreti storitev mssecsvc2.0 in jo nastaviti na ponovni zagon ob napaki.

Po zagonu poskuša datoteko C:\WINDOWS\tasksche.exe preimenovati v C:\WINDOWS\qeriuwjhrf, jo shrani iz virov trojanskega kodirnika v datoteko C:\WINDOWS\tasksche.exe in jo zažene z / i parameter. Med zagonom trojanec pridobi naslov IP okuženega računalnika in se poskuša povezati s TCP vrati 445 vsakega IP naslova znotraj podomrežja – išče stroje v notranjem omrežju in jih poskuša okužiti.

24 ur po zagonu kot sistemske storitve črv samodejno zapusti.

Za lastno distribucijo zlonamerna programska oprema inicializira Windows Sockets, CryptoAPI in zažene več niti. Eden od njih našteva vse omrežni vmesniki na okuženem računalniku in anketira razpoložljive gostitelje v lokalnem omrežju, ostali generirajo naključne naslove IP. Črv se poskuša povezati s temi oddaljenimi gostitelji prek vrat 445. Če je na voljo, ločena nit okuži omrežne gostitelje z uporabo ranljivosti v protokolu SMB.

Takoj po zagonu poskuša črv poslati zahtevo oddaljenemu strežniku, katerega domena je shranjena v trojancu. Če je na to zahtevo prejet odgovor, konča svoje delo.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Zaščita pred WannaCrypt in drugo izsiljevalsko programsko opremo

Za zaščito pred izsiljevalsko programsko opremo WannaCry in njenimi prihodnjimi spremembami morate:

1. Onemogočite neuporabljene storitve, vključno s SMB v1.

• SMBv1 je mogoče onemogočiti z uporabo PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Preko registra:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, vrednost SMB1 DWORD = 0
• Odstranite lahko tudi samo storitev, ki je odgovorna za SMBv1 (da, zanjo je osebno odgovorna ločena storitev od SMBv2):
  sc.exe konfiguracija lanmanworkstation odvisno=bowser/mrxsmb20/nsi
  sc.exe konfiguracija mrxsmb10 start=onemogočeno

1. Zaprite neuporabljena omrežna vrata s požarnim zidom, vključno z vrati 135, 137, 138, 139, 445 (vrata SMB).

Slika 2. Primer blokiranja vrat 445 s požarnim zidomWindows

Slika 3. Primer blokiranja vrat 445 s požarnim zidomWindows

1. Omejite dostop aplikacij do interneta z uporabo protivirusnega ali požarnega zidu.

Slika 4. Primer omejevanja dostopa do interneta za aplikacijo s požarnim zidom Windows