ทางเลือกของบรรณาธิการ

Wannacry Virus - วิธีป้องกันตัวเองและ [สูญเสีย] กู้คืนข้อมูล

หากคอมพิวเตอร์หรืออุปกรณ์หลายเครื่องในเครือข่ายที่บ้านหรือที่ทำงานของคุณติดไวรัส Wannacry โปรดอ่านบทความของเรา

ที่นี่ คุณจะได้เรียนรู้วิธีป้องกันตนเองและป้องกันการติดไวรัส ตลอดจนวิธีถอดรหัสข้อมูลที่เข้ารหัสอย่างเหมาะสม

ความสำคัญของความรู้นี้ได้รับการยืนยันโดยข้อมูลเกี่ยวกับคอมพิวเตอร์มากกว่า 150,000 เครื่องที่ติดเชื้อในปี 2560 ในระบบปฏิบัติการที่ได้รับ รหัส WC ที่เป็นอันตราย.

และแม้ว่าการแพร่กระจายของภัยคุกคามทั่วโลกจะหยุดลง แต่ก็เป็นไปได้ว่า ransomware รุ่นถัดไปจะมีประสิทธิภาพมากยิ่งขึ้นและควรเตรียมตัวให้พร้อมสำหรับการปรากฏตัวล่วงหน้า

เนื้อหา:

เอฟเฟกต์

สัญญาณแรกของการติดแรนซัมแวร์ของคอมพิวเตอร์ ถูกค้นพบเมื่อ 12 พฤษภาคม 2017เมื่อโปรแกรมที่ไม่รู้จักรบกวนการทำงานของผู้ใช้หลายพันคนและองค์กรต่างๆ หลายร้อยแห่งทั่วโลก

โค้ดที่เป็นอันตรายเริ่มแพร่กระจายเวลา 8.00 น. และในวันแรกได้ติดไวรัสพีซีมากกว่า 50,000 เครื่องแล้ว

การติดเชื้อส่วนใหญ่เกิดขึ้นใน - แม้ว่าข้อมูลแรกจะมาจากสหราชอาณาจักร และในองค์กรที่ได้รับผลกระทบ ได้แก่ บริษัทโทรคมนาคมของสเปนและโปรตุเกส และแม้กระทั่ง ความกังวลเรื่องรถยนต์ "เรโนลต์".

ในรัสเซียเขาโจมตีโอเปอเรเตอร์ การสื่อสารเคลื่อนที่ "โทรโข่ง", Beelineและ "ไอโอตา"กระทรวงสถานการณ์ฉุกเฉิน กระทรวงมหาดไทย และการรถไฟฯ

ด้วยเหตุนี้ การสอบเพื่อขอรับใบขับขี่ในบางภูมิภาคของประเทศจึงถูกยกเลิก และองค์กรจำนวนหนึ่งระงับการทำงานชั่วคราว

การจดทะเบียนชื่อโดเมนที่สะกดในรหัสไวรัส ขออนุญาตหยุดจำหน่าย... หลังจากนั้น โปรแกรมไม่สามารถเข้าถึงโดเมนใดโดเมนหนึ่งได้อีกต่อไปและใช้งานไม่ได้ จริงก่อนเรียนจบเท่านั้น เวอร์ชั่นใหม่ซึ่งไม่ได้กำหนดให้อุทธรณ์ไปยังที่อยู่เฉพาะอีกต่อไป

ข้อกำหนดสำหรับนักพัฒนาโค้ดที่เป็นอันตราย

ผลของการติดไวรัสของคอมพิวเตอร์คือการปิดกั้นส่วนใหญ่ของ ฮาร์ดไดรฟ์ไฟล์.

เนื่องจากไม่สามารถใช้ข้อมูลได้ ผู้ใช้จึงแปลชื่อแอปพลิเคชั่น WannaCry เป็น “ฉันอยากจะร้องไห้”, แต่ไม่ "ฉันต้องการเข้ารหัส"(Wanna Cryptor) อย่างที่มันเป็นจริงๆ

แต่เนื่องจากไฟล์ที่ไม่ได้เข้ารหัสมักจะไม่สามารถกู้คืนได้ ตัวเลือกแบบกำหนดเองจึงดูเหมาะสมกว่า

บนเดสก์ท็อปของคอมพิวเตอร์ที่ติดไวรัส windows ปรากฏขึ้นพร้อมกับเรียกร้องให้จ่ายเงินให้ผู้หลอกลวงเพื่อปลดล็อกข้อมูล

ในตอนแรกผู้โจมตีเรียกร้องเพียง $ 300 หลังจากนั้นไม่นานจำนวนเงินก็เพิ่มขึ้นเป็น $ 500 และหลังจากชำระเงินแล้วก็ไม่รับประกันว่าการโจมตีจะไม่เกิดขึ้นซ้ำอีก - คอมพิวเตอร์ยังคงติดไวรัสอยู่

แต่ถ้าคุณปฏิเสธที่จะจ่าย ข้อมูลที่เข้ารหัสจะหายไป 12 ชั่วโมงหลังจากคำเตือนปรากฏขึ้น

วิธีการขยายพันธุ์ภัยคุกคาม

ผู้พัฒนาโปรแกรมที่เป็นอันตรายใช้ช่องโหว่ในระบบปฏิบัติการนี้เพื่อติดไวรัสคอมพิวเตอร์ Windows ซึ่งปิดด้วยการอัปเดต MS17-010

เหยื่อส่วนใหญ่เป็นผู้ใช้ที่ไม่ได้ติดตั้งโปรแกรมแก้ไขด่วนนี้ในเดือนมีนาคม 2017

หลังจากติดตั้งการอัปเดต (ด้วยตนเองหรืออัตโนมัติ) การเข้าถึงคอมพิวเตอร์จากระยะไกลถูกปิด

ในเวลาเดียวกัน แพตช์เดือนมีนาคมไม่ได้ปกป้องระบบปฏิบัติการอย่างสมบูรณ์ โดยเฉพาะอย่างยิ่งถ้าผู้ใช้เปิดเอง - ด้วยวิธีนี้ไวรัสก็แพร่กระจายเช่นกัน

และหลังจากติดไวรัสคอมพิวเตอร์เครื่องหนึ่ง ไวรัสยังคงแพร่กระจายเพื่อค้นหาช่องโหว่ ด้วยเหตุนี้ ช่องโหว่ที่สุดไม่ใช่ผู้ใช้รายบุคคล แต่เป็นบริษัทขนาดใหญ่

ป้องกันการติดเชื้อ

แม้ว่าไวรัส (และเวอร์ชันใหม่) จะได้รับอันตรายร้ายแรงในคอมพิวเตอร์แทบทุกเครื่อง แต่ก็มีหลายวิธีที่จะหลีกเลี่ยงการติดไวรัสในระบบ

ในการทำเช่นนี้ควรใช้มาตรการต่อไปนี้:

• ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งการแก้ไขความปลอดภัยล่าสุด และหากขาดหายไป ให้เพิ่มด้วยตนเอง หลังจากนั้นอย่าลืมเปิด อัพเดทอัตโนมัติ- เป็นไปได้มากว่าตัวเลือกนี้ถูกปิดใช้งาน

• อย่าเปิดจดหมายพร้อมไฟล์แนบจากผู้ใช้ที่ไม่รู้จัก
• อย่าคลิกลิงก์ที่น่าสงสัย - โดยเฉพาะอย่างยิ่งหากโปรแกรมป้องกันไวรัสเตือนถึงอันตราย
• ติดตั้งโปรแกรมป้องกันไวรัสคุณภาพสูง - ตัวอย่างเช่นหรือซึ่งอัตราการตรวจจับ Van Edge สูงสุด ส่วนใหญ่รู้จักกันน้อยและโดยเฉพาะอย่างยิ่ง แอปฟรีปกป้องแพลตฟอร์มที่แย่ลง

• หลังจากติดไวรัส ให้ถอดคอมพิวเตอร์ออกจากอินเทอร์เน็ตทันที และโดยเฉพาะจาก เครือข่ายท้องถิ่นโดยปกป้องอุปกรณ์อื่น ๆ จากการแพร่กระจาย ransomware

นอกจากนี้ ผู้ใช้ควรบันทึกข้อมูลสำคัญเป็นระยะด้วยการสร้างข้อมูลสำรอง

หากเป็นไปได้ ควรคัดลอกข้อมูลไปยังแท่ง USB, การ์ดหน่วยความจำ และไม่ใช่ (ภายนอกหรือภายในที่ถอดออกได้)

หากสามารถกู้คืนข้อมูลได้ ความเสียหายจากไวรัสจะน้อยที่สุด - หากคอมพิวเตอร์ติดไวรัส ก็เพียงพอที่จะฟอร์แมตอุปกรณ์จัดเก็บข้อมูลเพียงอย่างเดียว

การรักษา PC ที่ติดเชื้อ

หากคอมพิวเตอร์ติดไวรัสแล้ว ผู้ใช้ควรพยายามแก้ไข กำจัดผลที่ตามมาจากการกระทำของ WannaCry

หลังจากที่ทุกโปรแกรมไวรัสได้เข้าสู่ระบบ ส่วนขยายของการเปลี่ยนแปลง

เมื่อพยายามเปิดแอปพลิเคชั่นหรือเปิดเอกสาร ผู้ใช้ล้มเหลว ซึ่งบังคับให้เขาคิดเกี่ยวกับการแก้ปัญหาโดยจ่ายเงิน 500 ดอลลาร์ที่จำเป็น

หลัก ขั้นตอนของการแก้ปัญหา:

1 เปิดบริการที่ติดตั้งในระบบปฏิบัติการ Windowsโอกาสของผลลัพธ์ที่เป็นบวกในกรณีนี้มีน้อย ดังนั้น เป็นไปได้มากว่าคุณจะต้องใช้ตัวเลือกอื่น

2 ติดตั้งระบบใหม่ในกรณีนี้ควรจัดรูปแบบทุกอย่าง - เป็นไปได้ว่าข้อมูลทั้งหมดจะสูญหายในกรณีนี้

3 ไปที่การถอดรหัสข้อมูล- ตัวเลือกนี้ใช้หากดิสก์มีข้อมูลสำคัญ

4 กระบวนการกู้คืนไฟล์เริ่มต้นด้วยการดาวน์โหลดการอัปเดตที่เหมาะสมและยกเลิกการเชื่อมต่ออินเทอร์เน็ต หลังจากนั้น ผู้ใช้ควรเรียกใช้บรรทัดคำสั่ง (via "เริ่ม"และมาตรา "มาตรฐาน"หรือผ่านเมนู "วิ่ง" i) และบล็อกพอร์ต 445 ปิดเส้นทางการเจาะไวรัส สามารถทำได้โดยการป้อนคำสั่ง ไฟร์วอลล์ advfirewall netsh เพิ่มกฎ dir = ในการดำเนินการ = บล็อกโปรโตคอล = tcp localport = 445 ชื่อ = "Block_TCP-445.

5 ตอนนี้กำลังติดตาม วิ่ง.ในการดำเนินการนี้ ให้กดปุ่มค้างไว้ระหว่างการบู๊ต F8เพื่อไปที่เมนูเริ่มต้นของคอมพิวเตอร์และเลือกรายการที่เกี่ยวข้อง ในโหมดนี้ โฟลเดอร์ที่มีโค้ดที่เป็นอันตรายจะเปิดขึ้น ซึ่งอยู่โดยใช้ทางลัดของไวรัสที่ปรากฏบนเดสก์ท็อป หลังจากลบไฟล์ทั้งหมดในไดเร็กทอรีแล้ว คุณต้องรีสตาร์ทระบบและเปิดอินเทอร์เน็ตอีกครั้ง

ถอดรหัสไฟล์

หลังจากหยุดการทำงานของ WannaCry ผู้ใช้จะต้องกู้คืนไฟล์ที่เข้ารหัสทั้งหมด

เป็นที่น่าสังเกตว่าขณะนี้มีเวลามากกว่า 12 ชั่วโมงมาก ดังนั้น หากคุณไม่สามารถส่งคืนข้อมูลด้วยตัวเอง คุณสามารถติดต่อผู้เชี่ยวชาญได้ภายในสองสามวันหรือหลายเดือน

ทางเลือกที่ดีที่สุด- การกู้คืนข้อมูลจากการสำรองข้อมูล หากผู้ใช้ไม่ได้คาดการณ์ถึงความเป็นไปได้ของการติดเชื้อและไม่ได้คัดลอกข้อมูลสำคัญ ควรดาวน์โหลดโปรแกรมถอดรหัส:

• Shadow Explorer ซึ่งอิงจากการคืนค่าสำเนา "เงา" ของไฟล์ (เอกสารหลัก)

ข้าว. 6. เปิดตัวโปรแกรม

มะเดื่อ 7. โซนงาน

ข้าว. 8. เริ่มกระบวนการกู้คืน

Wanna Cry Virus เป็นการโจมตีแบบแฮ็กเกอร์รูปแบบใหม่ มัลแวร์เรียกค่าไถ่ทำให้พีซีและผู้ใช้อินเทอร์เน็ตทั่วโลกสั่นสะเทือน ไวรัส Wanna Cry ทำงานอย่างไร เป็นไปได้ไหมที่จะป้องกัน และถ้าเป็นเช่นนั้น จะทำอย่างไร?

คำอธิบายไวรัส Wanna Cry- ประเภทของมัลแวร์ที่อยู่ในหมวดหมู่ แรนซัมแวร์, แรนซัมแวร์ เมื่อโดน HDDผู้ที่ตกเป็นเหยื่อ Wanna Cry ดำเนินการจากสคริปต์ของ "เพื่อนร่วมงาน" เช่น TrojanRansom.Win32.zipเข้ารหัสข้อมูลส่วนตัวของทุกคน นามสกุลที่รู้จัก... เมื่อพยายามจะดูไฟล์ ผู้ใช้จะเห็นบนหน้าจอเรียกร้องให้จ่ายเงินเป็นจำนวนเงินที่ n ซึ่งคาดว่าหลังจากนั้นผู้โจมตีจะส่งคำสั่งปลดบล็อค

บ่อยครั้งที่กรรโชกเงินดำเนินการโดยใช้การเติม SMS ของบัญชีที่สร้างขึ้นเป็นพิเศษ แต่เมื่อเร็ว ๆ นี้ได้มีการใช้บริการการชำระเงินแบบไม่ระบุชื่อสำหรับสิ่งนี้ Bitcoin.

ไวรัส Wanna Cry - มันทำงานอย่างไร Wanna Cry เป็นโปรแกรมที่ชื่อว่า WanaCrypt0r 2.0ซึ่งโจมตีเฉพาะพีซีที่ใช้ Windows โปรแกรมใช้ "รู" ในระบบเจาะ - Microsoft Security Bulletin MS17-010ซึ่งก่อนหน้านี้ไม่มีใครรู้ถึงการดำรงอยู่ บน ช่วงเวลานี้ไม่ทราบแน่ชัดว่าแฮกเกอร์ค้นพบช่องโหว่ MS17-010 ได้อย่างไร มีเวอร์ชันหนึ่งเกี่ยวกับการก่อวินาศกรรมของผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสเพื่อรักษาความต้องการไว้ แต่แน่นอนว่าไม่มีใครตัดความฉลาดของแฮกเกอร์ออกไป

น่าเศร้าที่การแพร่กระจายของไวรัส Wanna Cry ดำเนินการด้วยวิธีที่ง่ายที่สุด - ผ่านทางอีเมล หลังจากเปิดข้อความสแปม ตัวเข้ารหัสจะถูกเปิดใช้งานและไฟล์ที่เข้ารหัสนั้นแทบจะกู้คืนไม่ได้

ไวรัส Wanna Cry - วิธีป้องกันตัวเอง การรักษา WanaCrypt0r 2.0 ใช้ช่องโหว่ในบริการเครือข่าย Windows ระหว่างการโจมตี เป็นที่ทราบกันดีว่า Microsoft ได้เปิดตัว "แพทช์" แล้ว - เพียงแค่เรียกใช้การอัปเดต Windows Updateก่อน รุ่นล่าสุด... เป็นที่น่าสังเกตว่าเฉพาะผู้ใช้ที่ซื้อใบอนุญาต เวอร์ชั่น Windows- เมื่อคุณพยายามอัปเดต "โจรสลัด" ระบบจะไม่ผ่านการตรวจสอบ คุณต้องจำไว้ด้วยว่า Windows XP ไม่ได้รับการอัพเดตอีกต่อไป เช่นเดียวกับเวอร์ชันก่อนหน้า

คุณสามารถป้องกันตัวเองจาก Wanna Cry โดยทำตามกฎง่ายๆ สองสามข้อ:

• อัปเดตระบบตรงเวลา - พีซีที่ติดไวรัสทั้งหมดยังไม่ได้รับการอัปเดต
• ใช้ OS . ที่ได้รับอนุญาต
• อย่าเปิดอีเมลที่น่าสงสัย
• อย่าคลิกลิงก์ที่น่าสงสัยจากผู้ใช้ที่ไม่น่าเชื่อถือ

ตามรายงานของสื่อ ผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสจะปล่อยตัวอัปเดตเพื่อต่อสู้กับ Wanna Cry ดังนั้นการอัปเดตโปรแกรมป้องกันไวรัสของคุณก็ไม่ควรล่าช้าเช่นกัน

อยากร้องไห้ - โปรแกรมพิเศษซึ่งจะล็อกข้อมูลทั้งหมดในระบบและปล่อยให้ผู้ใช้มีเพียงสองไฟล์เท่านั้น: คำแนะนำเกี่ยวกับสิ่งที่ต้องทำต่อไป และโปรแกรม Wanna Decryptor เองซึ่งเป็นเครื่องมือสำหรับการปลดล็อกข้อมูล

บริษัทรักษาความปลอดภัยคอมพิวเตอร์ส่วนใหญ่มีเครื่องมือถอดรหัสค่าไถ่ที่สามารถเลี่ยงผ่าน ซอฟต์แวร์... สำหรับปุถุชนทั่วไป วิธีการ "รักษา" ยังไม่ทราบ

โปรแกรมถอดรหัส WannaCry (หรือ WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),ถูกเรียกว่า "ไวรัสปี 2017" แล้ว และมันก็ไม่สมเหตุสมผลเลย ภายใน 24 ชั่วโมงแรกหลังจากเริ่มแพร่กระจาย แรนซัมแวร์นี้ติดไวรัสคอมพิวเตอร์มากกว่า 45,000 เครื่อง นักวิจัยบางคนเชื่อว่าในขณะนี้ (15 พ.ค.) มีคอมพิวเตอร์และเซิร์ฟเวอร์ติดไวรัสมากกว่าหนึ่งล้านเครื่อง เพื่อเป็นการเตือนว่าไวรัสเริ่มแพร่กระจายในวันที่ 12 พฤษภาคม ผู้ใช้จากรัสเซีย ยูเครน อินเดีย และไต้หวันเป็นกลุ่มแรกที่ได้รับผลกระทบ ขณะนี้ไวรัสกำลังแพร่กระจายด้วยความเร็วสูงในยุโรป สหรัฐอเมริกา และจีน

ข้อมูลบนคอมพิวเตอร์และเซิร์ฟเวอร์ถูกเข้ารหัส เจ้าหน้าที่รัฐบาล(โดยเฉพาะกระทรวงกิจการภายในของรัสเซีย) โรงพยาบาล บริษัทข้ามชาติ มหาวิทยาลัย และโรงเรียน

Wana Decryptor (Wanna Cry หรือ Wana Decrypt0r) ทำให้งานของบริษัทและหน่วยงานภาครัฐหลายร้อยแห่งทั่วโลกเป็นอัมพาต

อันที่จริง WinCry (WannaCry) เป็นช่องโหว่ของตระกูล EternalBlue ซึ่งใช้ช่องโหว่ที่ค่อนข้างเก่าของระบบปฏิบัติการ Windows (Windows XP, Windows Vista, Windows 7, Windows 8 และ Windows 10) และโหลดตัวเองเข้าสู่ระบบใน โหมดเงียบ จากนั้น ใช้อัลกอริธึมที่ทนทานต่อการถอดรหัส จะเข้ารหัสข้อมูลผู้ใช้ (เอกสาร ภาพถ่าย วิดีโอ สเปรดชีต ฐานข้อมูล) และต้องการค่าไถ่สำหรับการถอดรหัสข้อมูล โครงร่างนี้ไม่ใช่เรื่องใหม่ เรากำลังเขียนเกี่ยวกับแรนซัมแวร์การเข้ารหัสไฟล์ประเภทใหม่อยู่เสมอ - แต่วิธีการแจกจ่ายเป็นวิธีการใหม่ และทำให้เกิดโรคระบาด

ไวรัสทำงานอย่างไร

โปรแกรมที่เป็นอันตรายสแกนอินเทอร์เน็ตเพื่อหาคอมพิวเตอร์ที่เปิดพอร์ต TCP 445 ซึ่งรับผิดชอบในการบำรุงรักษา โปรโตคอล SMBเวอร์ชัน 1. เมื่อพบคอมพิวเตอร์ดังกล่าว โปรแกรมพยายามใช้ช่องโหว่ EternalBlue หลายครั้ง และหากสำเร็จ จะติดตั้งแบ็คดอร์ DoublePulsar ซึ่งจะมีการโหลดและเปิดใช้โค้ดปฏิบัติการของโปรแกรม WannaCry ทุกครั้งที่พยายามโจมตี มัลแวร์จะตรวจสอบการมีอยู่ของ DoublePulsar บนคอมพิวเตอร์เป้าหมาย และหากตรวจพบ มัลแวร์จะถูกดาวน์โหลดโดยตรงผ่านแบ็คดอร์นี้

โดยวิธีการเหล่านี้ไม่ได้ติดตามโดยสมัยใหม่ โปรแกรมแอนตี้ไวรัสซึ่งทำให้การติดเชื้อรุนแรงมาก และนี่คือก้อนหินก้อนใหญ่ในสวนของนักพัฒนาซอฟต์แวร์ต่อต้านไวรัส สิ่งนี้จะได้รับอนุญาตได้อย่างไร? คุณเอาเงินไปเพื่ออะไร

เมื่อเปิดตัวแล้ว มัลแวร์จะทำหน้าที่เหมือนแรนซัมแวร์แบบคลาสสิก โดยจะสร้างคู่คีย์อัลกอริทึมแบบอสมมาตร RSA-2048 ที่ไม่ซ้ำกันสำหรับคอมพิวเตอร์ที่ติดไวรัสแต่ละเครื่อง จากนั้น WannaCry ก็เริ่มสแกนระบบเพื่อค้นหาไฟล์ผู้ใช้บางประเภท ปล่อยให้ไฟล์สำคัญไม่เสียหายสำหรับการทำงานต่อไป ไฟล์ที่เลือกแต่ละไฟล์จะถูกเข้ารหัสโดยใช้อัลกอริธึม AES-128-CBC พร้อมคีย์เฉพาะ (สุ่ม) สำหรับแต่ละไฟล์ ซึ่งจะถูกเข้ารหัสด้วยคีย์ RSA ที่เปิดอยู่ของระบบที่ติดไวรัสและจัดเก็บไว้ในส่วนหัวของไฟล์ที่เข้ารหัส ในเวลาเดียวกัน นามสกุลจะถูกเพิ่มลงในไฟล์ที่เข้ารหัสแต่ละไฟล์ .wcry... คู่คีย์ RSA ของระบบที่ติดไวรัสจะถูกเข้ารหัสด้วยกุญแจสาธารณะของผู้โจมตี และส่งไปยังเซิร์ฟเวอร์ควบคุมที่อยู่ในเครือข่าย Tor หลังจากนั้นคีย์ทั้งหมดจะถูกลบออกจากหน่วยความจำของเครื่องที่ติดไวรัส หลังจากเสร็จสิ้นขั้นตอนการเข้ารหัส โปรแกรมจะแสดงหน้าต่างพร้อมคำขอให้โอนจำนวนหนึ่งเป็นบิตคอยน์ (เทียบเท่า 300 ดอลลาร์สหรัฐ) ไปยังกระเป๋าเงินที่ระบุภายในสามวัน หากไม่ได้รับค่าไถ่ในเวลาที่เหมาะสม จำนวนเงินจะเพิ่มขึ้นเป็นสองเท่าโดยอัตโนมัติ ในวันที่เจ็ด หาก WannaCry ไม่ถูกลบออกจากระบบที่ติดไวรัส ไฟล์ที่เข้ารหัสจะถูกทำลาย ข้อความจะแสดงในภาษาที่ตรงกับภาษาที่ติดตั้งบนคอมพิวเตอร์ โดยรวมแล้ว โปรแกรมรองรับ 28 ภาษา ควบคู่ไปกับการเข้ารหัส โปรแกรมจะสแกนอินเทอร์เน็ตตามอำเภอใจและที่อยู่เครือข่ายท้องถิ่นเพื่อหาการติดไวรัสคอมพิวเตอร์เครื่องใหม่ในภายหลัง

จากการศึกษาของไซแมนเทค อัลกอริทึมที่ผู้โจมตีใช้เพื่อติดตามการชำระเงินรายบุคคลของเหยื่อแต่ละรายและส่งคีย์ถอดรหัสไปให้พวกเขานั้นถูกใช้งานโดยมีข้อผิดพลาดเกี่ยวกับสภาวะการแข่งขัน ทำให้ค่าไถ่ไม่มีความหมาย เนื่องจากคีย์แต่ละคีย์จะไม่ถูกส่งต่อไป และไฟล์ต่างๆ จะถูกเข้ารหัสไว้ อย่างไรก็ตาม มีวิธีการที่เชื่อถือได้ในการถอดรหัสไฟล์ผู้ใช้ที่มีขนาดเล็กกว่า 200MB และมีโอกาสกู้คืนไฟล์ขนาดใหญ่ได้ นอกจากนี้ในวันที่ล้าสมัย ระบบ Windows XP และ Windows Server 2003 เนื่องจากลักษณะเฉพาะของการใช้อัลกอริธึมในการคำนวณตัวเลขสุ่มหลอกในระบบ จึงสามารถกู้คืนคีย์ RSA ส่วนตัวและถอดรหัสไฟล์ที่ได้รับผลกระทบทั้งหมดได้หากคอมพิวเตอร์ไม่รีสตาร์ทตั้งแต่วินาทีที่ การติดเชื้อ. ต่อมากลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศสจาก Comae Technologies ได้ขยายความสามารถนี้ไปยัง Windows 7 และนำไปปฏิบัติโดยเผยแพร่ยูทิลิตี้ วานากีวีช่วยให้คุณสามารถถอดรหัสไฟล์โดยไม่ต้องเรียกค่าไถ่

ในรหัสของโปรแกรมรุ่นก่อนหน้ามีกลไกการทำลายตนเองที่เรียกว่า Kill Switch - โปรแกรมตรวจสอบความพร้อมใช้งานของโดเมนอินเทอร์เน็ตเฉพาะสองโดเมนและหากมีอยู่จะถูกลบออกจากคอมพิวเตอร์อย่างสมบูรณ์ มันถูกค้นพบครั้งแรกโดย Marcus Hutchins เมื่อวันที่ 12 พฤษภาคม 2017 (ภาษาอังกฤษ)รัสเซีย นักวิเคราะห์ไวรัสวัย 22 ปีที่บริษัท Kryptos Logic ในสหราชอาณาจักร ซึ่งทวีตโดยใช้ชื่อเล่นว่า @MalwareTechBlog และได้จดทะเบียนโดเมนหนึ่งโดเมนในชื่อของเขา ดังนั้น เขาจึงสามารถบล็อกการแจกจ่ายโปรแกรมที่เป็นอันตรายบางส่วนได้ชั่วคราว เมื่อวันที่ 14 พฤษภาคม โดเมนที่สองได้รับการจดทะเบียนด้วย ในไวรัสรุ่นต่อๆ มา กลไกการปิดตัวเองนี้ถูกเอาออก แต่ไม่ได้ทำในเวอร์ชันดั้งเดิม รหัสโปรแกรมและโดยการแก้ไข ไฟล์ปฏิบัติการซึ่งทำให้เราสามารถสันนิษฐานได้ว่าที่มาของการแก้ไขนี้ไม่ได้มาจากผู้เขียน WannaCry ดั้งเดิม แต่มาจากผู้โจมตีบุคคลที่สาม ด้วยเหตุนี้ กลไกการเข้ารหัสจึงได้รับความเสียหาย และเวิร์มเวอร์ชันนี้สามารถแพร่กระจายได้เองเท่านั้น โดยค้นหาคอมพิวเตอร์ที่มีช่องโหว่ แต่ไม่สามารถก่อให้เกิดอันตรายโดยตรงต่อเครื่องเหล่านี้ได้

การแพร่กระจายที่รวดเร็วของ WannaCry ซึ่งมีลักษณะเฉพาะสำหรับแรนซัมแวร์ ถูกขับเคลื่อนโดยช่องโหว่ที่เผยแพร่ในเดือนกุมภาพันธ์ 2017 โปรโตคอลเครือข่ายระบบปฏิบัติการ SMB Microsoft Windowsอธิบายไว้ในกระดานข่าว MS17-010 ในรูปแบบคลาสสิก แรนซัมแวร์เข้าสู่คอมพิวเตอร์ผ่านการกระทำของผู้ใช้เองผ่านอีเมลหรือลิงก์ของเว็บ ในกรณีของ WannaCry การมีส่วนร่วมของผู้ใช้จะไม่ถูกยกเว้นโดยสิ้นเชิง ระยะเวลาระหว่างการตรวจหาคอมพิวเตอร์ที่มีช่องโหว่และการติดไวรัสโดยสมบูรณ์คือประมาณ 3 นาที

บริษัท พัฒนาได้ยืนยันว่ามีช่องโหว่ในผลิตภัณฑ์ผู้ใช้และเซิร์ฟเวอร์ทั้งหมดที่มีการใช้งานโปรโตคอล SMBv1 - จาก Windows XP / Windows Server 2003 ถึง Windows 10 / Windows Server 2016 เมื่อวันที่ 14 มีนาคม 2017 Microsoft เปิดตัว ชุดของการอัปเดตที่ออกแบบมาเพื่อแก้ไขช่องโหว่ในระบบปฏิบัติการที่รองรับทั้งหมด หลังจากการจำหน่าย WannaCry บริษัทได้ดำเนินการตามขั้นตอนที่ไม่เคยเกิดขึ้นมาก่อนโดยเผยแพร่การอัปเดตสำหรับผลิตภัณฑ์ที่หมดอายุ (Windows XP, Windows Server 2003 และ Windows 8) ในวันที่ 13 พฤษภาคม

การแพร่กระจายของไวรัส WannaCry

ไวรัสสามารถแพร่กระจายได้หลายวิธี:

• ผ่านเครือข่ายคอมพิวเตอร์เครื่องเดียว
• ทางไปรษณีย์;
• ผ่านเบราว์เซอร์

โดยส่วนตัวแล้วฉันไม่ชัดเจนว่าทำไม การเชื่อมต่อเครือข่ายไม่ได้สแกนโดยโปรแกรมป้องกันไวรัส วิธีการติดไวรัสแบบเดียวกับการเข้าชมเว็บไซต์หรือเบราว์เซอร์พิสูจน์ให้เห็นถึงความไม่มีประโยชน์ของนักพัฒนา และความจริงที่ว่าเงินที่ร้องขอสำหรับซอฟต์แวร์ที่ได้รับอนุญาตเพื่อปกป้องพีซีนั้นไม่สมเหตุสมผล

อาการของการติดเชื้อและการรักษาไวรัส

หลังจากติดตั้งสำเร็จบนพีซีของผู้ใช้แล้ว WannaCry จะพยายามกระจายเครือข่ายท้องถิ่นไปยังพีซีเครื่องอื่น เช่น เวิร์ม ไฟล์ที่เข้ารหัสจะได้รับส่วนขยายระบบ .WCRY และกลายเป็นสิ่งที่อ่านไม่ได้อย่างสมบูรณ์และไม่สามารถถอดรหัสได้ด้วยตัวเอง หลังจากการเข้ารหัสเต็มรูปแบบ Wcry จะเปลี่ยนวอลเปเปอร์เดสก์ท็อปและปล่อยให้ "คำแนะนำ" สำหรับการถอดรหัสไฟล์ในโฟลเดอร์ที่เข้ารหัส

ในตอนแรกแฮกเกอร์รีดไถ 300 ดอลลาร์สำหรับคีย์ถอดรหัส แต่จากนั้นพวกเขาก็เพิ่มตัวเลขนี้เป็น 600 ดอลลาร์

จะป้องกัน WannaCry Decryptor ไม่ให้ติดพีซีของคุณได้อย่างไร?

ดาวน์โหลดการอัปเดตระบบปฏิบัติการจากเว็บไซต์ของ Microsoft

สิ่งที่ต้องทำ euพีซีของคุณติดไวรัสหรือไม่?

ใช้คำแนะนำด้านล่างเพื่อพยายามกู้คืนข้อมูลบางส่วนในพีซีที่ติดไวรัสเป็นอย่างน้อย อัปเดตโปรแกรมป้องกันไวรัสและติดตั้งโปรแกรมแก้ไขระบบปฏิบัติการ ตัวถอดรหัสลับสำหรับไวรัสนี้ยังไม่มีอยู่ในธรรมชาติ เราขอแนะนำอย่างยิ่งว่าอย่าจ่ายค่าไถ่ให้กับอาชญากรไซเบอร์ - ไม่มีการรับประกันแม้เพียงเล็กน้อยว่าพวกเขาจะถอดรหัสข้อมูลของคุณหลังจากได้รับค่าไถ่

ลบ WannaCry ransomware ด้วยตัวทำความสะอาดอัตโนมัติ

เฉพาะ วิธีที่มีประสิทธิภาพการทำงานกับมัลแวร์โดยทั่วไปและแรนซัมแวร์โดยเฉพาะ การใช้คอมเพล็กซ์ป้องกันที่ได้รับการพิสูจน์แล้วอย่างดีรับประกันความทั่วถึงในการตรวจหาส่วนประกอบไวรัสใด ๆ ของพวกเขา การกำจัดอย่างสมบูรณ์ด้วยคลิกเดียว โปรดทราบว่าเรากำลังพูดถึงสองกระบวนการที่แตกต่างกัน: การถอนการติดตั้งการติดไวรัสและการกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามจะต้องถูกลบออกอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการแนะนำโทรจันคอมพิวเตอร์เครื่องอื่นด้วยความช่วยเหลือ

1. ดาวน์โหลดเครื่องมือกำจัดไวรัส WannaCry... หลังจากเริ่มซอฟต์แวร์แล้ว ให้คลิกปุ่ม เริ่มการสแกนคอมพิวเตอร์(เริ่มสแกน) ดาวน์โหลดโปรแกรมเพื่อลบ ransomware อยากร้องไห้ .
2. ซอฟต์แวร์ที่ติดตั้งจะจัดทำรายงานเกี่ยวกับภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่พบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(กำจัดภัยคุกคาม). มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์

กู้คืนการเข้าถึงไฟล์ที่เข้ารหัส

ตามที่ระบุไว้ no_more_ransom ransomware ล็อกไฟล์ด้วยอัลกอริธึมการเข้ารหัสที่รัดกุม ดังนั้นข้อมูลที่เข้ารหัสจะไม่กลับมาทำงานต่อด้วยคลื่นของไม้กายสิทธิ์ - เว้นแต่คุณจะคำนึงถึงการชำระเงินค่าไถ่ที่ไม่เคยได้ยินมาก่อน แต่วิธีการบางอย่างอาจกลายเป็นเครื่องช่วยชีวิตที่จะช่วยให้คุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้

โปรแกรมกู้ไฟล์อัตโนมัติ (ตัวถอดรหัส)

เป็นที่ทราบกันดีว่ามีสถานการณ์ที่ไม่ธรรมดามาก การติดเชื้อนี้จะลบไฟล์ต้นฉบับที่ไม่ได้เข้ารหัส กระบวนการเข้ารหัสแรนซัมแวร์จึงกำหนดเป้าหมายสำเนาของพวกเขา นี่เป็นโอกาสสำหรับเช่น ซอฟต์แวร์อย่างไร การกู้คืนข้อมูล Proกู้คืนวัตถุที่ถูกลบแม้ว่าจะรับประกันความน่าเชื่อถือของการกำจัดก็ตาม ขอแนะนำอย่างยิ่งให้ใช้ขั้นตอนการกู้คืนไฟล์ ประสิทธิภาพของมันไม่ต้องสงสัยเลย

สำเนาเงาปริมาณ

วิธีการจะขึ้นอยู่กับขั้นตอนของ Windows สำเนาสำรองไฟล์ซึ่งซ้ำกันในแต่ละจุดกู้คืน เงื่อนไขสำคัญสำหรับวิธีนี้ในการทำงาน: ต้องเปิดใช้งานฟังก์ชัน "System Restore" ก่อนการติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ ที่เกิดขึ้นกับไฟล์หลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์

สำรอง

นี่เป็นวิธีที่ดีที่สุดในการไม่แลกรับของรางวัลทั้งหมด หากมีการใช้ขั้นตอนการสำรองข้อมูลไปยังเซิร์ฟเวอร์ภายนอกก่อนการโจมตีของแรนซัมแวร์ในคอมพิวเตอร์ของคุณ เพื่อกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องเข้าสู่อินเทอร์เฟซที่เหมาะสม เลือกไฟล์ที่จำเป็น และเริ่มกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการ คุณต้องแน่ใจว่า ransomware ถูกเอาออกทั้งหมด

ตรวจสอบส่วนประกอบที่เหลือของมัลแวร์เรียกค่าไถ่ WannaCry

การทำความสะอาดด้วยตนเองนั้นเต็มไปด้วยการละเว้นบางส่วนของแรนซัมแวร์ที่สามารถหลีกเลี่ยงการลบในรูปแบบของวัตถุระบบปฏิบัติการที่ซ่อนอยู่หรือรายการรีจิสตรี เพื่อลดความเสี่ยงของการเก็บรักษาองค์ประกอบที่เป็นอันตรายบางอย่างไว้บางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้ซอฟต์แวร์ความปลอดภัยที่เชื่อถือได้ซึ่งเชี่ยวชาญด้านซอฟต์แวร์ที่เป็นอันตราย

ถอดรหัส

แต่ไม่มีข้อมูลจากผู้ที่จ่ายเงินสำหรับการถอดรหัสเช่นเดียวกับที่ไม่มีข้อมูลเกี่ยวกับความตั้งใจของแฮกเกอร์ที่จะทำให้จิตใจของผู้คนสงบลงและถอดรหัสข้อมูลหลังการชำระเงิน ((((

แต่ใน Habré มีข้อมูลคร่าวๆ เกี่ยวกับหลักการทำงานของปุ่มถอดรหัส เช่นเดียวกับข้อเท็จจริงที่ว่าผู้โจมตีไม่มีวิธีระบุผู้ใช้ที่ส่งคิวบอล ซึ่งหมายความว่าจะไม่มีใครกู้คืนสิ่งใด ๆ ให้กับผู้ที่ตกเป็นเหยื่อ:

“ผู้เข้ารหัสสร้างไฟล์สองประเภท: อันดับแรก บางส่วนถูกเข้ารหัสโดยใช้ AES 128 บิต ในขณะที่คีย์ถอดรหัสที่สร้างขึ้นจะถูกผนวกเข้ากับไฟล์ที่เข้ารหัสโดยตรง สำหรับไฟล์ที่เข้ารหัสด้วยวิธีนี้ cryptor จะให้นามสกุล .wcyrและมันเป็นสิ่งที่พวกเขาถอดรหัสเมื่อคุณคลิกที่ Decrypt ส่วนใหญ่ของสิ่งที่เข้ารหัสจะได้รับส่วนขยาย .wcryและกุญแจก็ไม่อยู่แล้ว
ในกรณีนี้ การเข้ารหัสไม่ได้อยู่ในไฟล์ แต่ก่อนอื่น ไฟล์จะถูกสร้างขึ้นบนดิสก์ โดยจะวางเนื้อหาที่เข้ารหัสไว้ จากนั้นไฟล์ต้นฉบับจะถูกลบออก ดังนั้นในบางครั้งจึงมีโอกาสกู้คืนข้อมูลบางส่วนโดยใช้ยูทิลิตี้ยกเลิกการลบต่างๆ
เพื่อต่อสู้กับยูทิลิตี้ดังกล่าว cryptor จะเขียนขยะที่เหลือลงในดิสก์อย่างต่อเนื่องเพื่อให้พื้นที่ดิสก์กินหมดเร็วพอ
แต่ทำไมยังไม่มีข้อมูลเกี่ยวกับการชำระเงินและกลไกการตรวจสอบจึงเป็นเรื่องที่น่าแปลกใจจริงๆ อาจได้รับอิทธิพลจากจำนวนเงินที่ค่อนข้างเหมาะสม ($ 300) ซึ่งจำเป็นสำหรับการตรวจสอบดังกล่าว "

ผู้สร้างไวรัส WannaCry ข้ามการป้องกันชั่วคราวในรูปแบบของโดเมนที่ไม่มีความหมาย

ผู้สร้างไวรัสเรียกค่าไถ่ WannaCry ซึ่งส่งผลกระทบต่อคอมพิวเตอร์ในกว่า 70 ประเทศ ได้เปิดตัวเวอร์ชันใหม่แล้ว มันไม่มีรหัสสำหรับการเข้าถึงโดเมนที่ไม่มีความหมายด้วยความช่วยเหลือซึ่งเป็นไปได้ที่จะป้องกันการแพร่กระจายของไวรัสดั้งเดิม มาเธอร์บอร์ดเขียน สิ่งพิมพ์ได้รับการยืนยันการเกิดขึ้นของไวรัสรุ่นใหม่จากผู้เชี่ยวชาญสองคนที่ศึกษากรณีใหม่ของการติดเชื้อคอมพิวเตอร์ หนึ่งในนั้นคือ Costin Raiu หัวหน้าทีมวิจัยระหว่างประเทศที่ Kaspersky Lab

ผู้เชี่ยวชาญไม่ได้ชี้แจงว่ามีการเปลี่ยนแปลงอื่นๆ ใน WannaCry หรือไม่

การโจมตีทางไซเบอร์นี้ได้รับการขนานนามว่ายิ่งใหญ่ที่สุดในประวัติศาสตร์ กว่า 70 ประเทศ คอมพิวเตอร์ติดไวรัสหลายหมื่นเครื่อง ไวรัสแรนซัมแวร์ที่ชื่อ Wanna Cry ไม่ได้ละเว้นใคร ภายใต้การโจมตี-โรงพยาบาล รถไฟ หน่วยงานราชการ

ในรัสเซีย การโจมตีครั้งนี้รุนแรงที่สุด ข้อความที่เข้ามาในขณะนี้คล้ายกับรายงานจากหน้าคอมพิวเตอร์ จากกรณีหลัง: Russian Railways กล่าวว่าไวรัสพยายามเจาะระบบไอทีของพวกเขา ได้รับการแปลเป็นภาษาท้องถิ่นแล้ว และพวกเขากำลังพยายามทำลายมัน นอกจากนี้ ธนาคารกลาง กระทรวงกิจการภายใน กระทรวงสถานการณ์ฉุกเฉิน และบริษัทสื่อสารยังได้พูดถึงความพยายามในการแฮ็กข้อมูลอีกด้วย

นี่คือลักษณะของไวรัสที่ทำให้คอมพิวเตอร์หลายหมื่นเครื่องทั่วโลกเป็นอัมพาต อินเทอร์เฟซและข้อความที่ใช้งานง่ายแปลเป็นภาษาต่างๆ มากมาย - "คุณมีเวลาจ่ายเพียงสามวัน" โปรแกรมที่เป็นอันตรายที่เข้ารหัสไฟล์ต้องใช้ตั้งแต่ 300 ถึง 600 ดอลลาร์เพื่อปลดล็อกตามแหล่งที่มาต่างๆ เฉพาะในสกุลเงินไซเบอร์ แบล็กเมล์อย่างแท้จริงเกี่ยวกับชีวิตและความตาย

“ฉันพร้อมสำหรับการผ่าตัดอย่างสมบูรณ์ แม้แต่ IV ก็ได้รับการติดตั้งแล้ว จากนั้นศัลยแพทย์ก็มาบอกว่าพวกเขามีปัญหากับอุปกรณ์อันเนื่องมาจากการโจมตีทางไซเบอร์” Patrick Ward กล่าว

วัคซีนสำหรับ ไวรัสคอมพิวเตอร์ไม่พบในคลินิกของอังกฤษสี่สิบแห่งที่ถูกโจมตีครั้งแรก หรือในบริษัทโทรคมนาคมรายใหญ่ที่สุดของสเปนอย่าง Telefonica ผู้เชี่ยวชาญกล่าวว่าร่องรอยของการโจมตีของแฮ็กเกอร์ที่ใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์โลก แม้แต่ในกระดานคะแนนของสถานีรถไฟในเยอรมนี ในหนึ่งในเจ็ดศูนย์จัดส่งของ Deutsche Bahn ผู้ให้บริการรถไฟเยอรมัน ระบบควบคุมล้มเหลว ผลที่ตามมาอาจเป็นหายนะ

รวมแล้ว 74 ประเทศตกเป็นเหยื่อของการโจมตีทางไซเบอร์แล้ว เฉพาะแอฟริกาและหลายรัฐในเอเชียและละตินอเมริกาเท่านั้นที่ไม่ถูกแตะต้อง แค่ตอนนี้จริงๆเหรอ?

“ทั้งหมดนี้ทำขึ้นเพื่อหาเงินบริจาคให้กับองค์กรอาชญากรรม ไม่มีภูมิหลังทางการเมืองหรือแรงจูงใจซ่อนเร้น แบล็กเมล์ล้วนๆ” Ben Rapp ผู้เชี่ยวชาญด้านแอนตี้ไวรัสของบริษัทไอทีกล่าว

อย่างไรก็ตาม สื่ออังกฤษพบแรงจูงใจทางการเมืองในทันที และพวกเขาตำหนิแฮ็กเกอร์ชาวรัสเซียสำหรับทุกอย่างแม้ว่าจะไม่มีหลักฐานใด ๆ ก็ตามที่เชื่อมโยงการโจมตีทางอินเทอร์เน็ตกับการโจมตีทางอากาศของอเมริกาในซีเรีย ถูกกล่าวหาว่าไวรัส ransomware กลายเป็นการแก้แค้นของมอสโก ในเวลาเดียวกัน ตามรายงานของสื่ออังกฤษฉบับเดียวกัน รัสเซียได้รับความเดือดร้อนมากที่สุดในการโจมตีครั้งนี้ และด้วยเหตุนี้จึงเป็นเรื่องยากที่จะโต้แย้งอย่างแน่นอน กระทรวงมหาดไทยเพียงแห่งเดียวโจมตีคอมพิวเตอร์มากกว่าหนึ่งพันเครื่อง อย่างไรก็ตาม มันไม่ประสบความสำเร็จ

เราขับไล่การโจมตีในกระทรวงสถานการณ์ฉุกเฉินและกระทรวงสาธารณสุขใน Sberbank และใน Megafon " ผู้ให้บริการมือถือถึงกับระงับการทำงานของคอลเซ็นเตอร์ไปสักระยะ

“พระราชกฤษฎีกาของประธานาธิบดีเกี่ยวกับการสร้างส่วนของเว็บรัสเซียเป็นอินเทอร์เน็ตแบบปิดที่อยู่รอบ ๆ ข้าราชการ การป้องกันได้รับหลังโล่นี้มาเป็นเวลานาน ฉันคิดว่ามีโอกาสเป็นทุกข์ คอมพิวเตอร์อย่างง่ายพนักงานธรรมดา. ไม่น่าเป็นไปได้ที่การเข้าถึงฐานข้อมูลที่ได้รับความเดือดร้อน - ตามกฎอื่น ๆ ระบบปฏิบัติการและตามกฎแล้วกับผู้ให้บริการ” German Klimenko ที่ปรึกษาประธานาธิบดีรัสเซียด้านการพัฒนาอินเทอร์เน็ตกล่าว

โปรแกรมตามที่นักพัฒนาซอฟต์แวร์ป้องกันไวรัสระบุว่าโปรแกรมจะติดคอมพิวเตอร์หากผู้ใช้เปิดอีเมลที่น่าสงสัยและยังไม่ได้อัปเดต Windows เห็นได้ชัดเจนในตัวอย่างของประเทศจีนที่ได้รับผลกระทบอย่างรุนแรง - อย่างที่คุณทราบ ชาวราชอาณาจักรกลางมีความรักเป็นพิเศษต่อระบบปฏิบัติการของโจรสลัด แต่คุ้มไหมที่จ่ายไปด้วยการคลิกเม้าส์อย่างไม่ใส่ใจ กำลังตั้งคำถามไปทั่วโลก

“ถ้าบริษัทไม่มี สำรองพวกเขาอาจสูญเสียการเข้าถึงข้อมูล ตัวอย่างเช่น หากฐานข้อมูลของผู้ป่วยในโรงพยาบาลถูกจัดเก็บพร้อมกับประวัติทางการแพทย์ในสำเนาเดียวบนเซิร์ฟเวอร์นี้ซึ่งมีไวรัสเข้ามา โรงพยาบาลจะไม่กู้คืนข้อมูลเหล่านี้ในทางใดทางหนึ่ง” Ilya Skachkov กล่าว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

เท่าที่บล็อกเกอร์ค้นพบ กระเป๋าเงินอิเล็กทรอนิกส์ของผู้หลอกลวงมีเงินไม่เกินสี่พันเหรียญ เรื่องเล็กจากรายชื่อผู้ที่ตกเป็นเหยื่อ - ค่าใช้จ่ายในการถอดรหัสฮาร์ดไดรฟ์นั้นเทียบไม่ได้อย่างชัดเจน Financial Times สิ่งพิมพ์ของอังกฤษแนะนำว่าไวรัส ransomware ไม่ได้เป็นอะไรมากไปกว่าโปรแกรมที่เป็นอันตรายซึ่งแก้ไขโดยผู้โจมตีของ US National Security Agency เมื่อมันถูกสร้างขึ้นเพื่อที่จะเจาะระบบปิดของอเมริกา สิ่งนี้ได้รับการยืนยันจากอดีตพนักงานของเขา Edward Snowden

จาก Twitter ของ Snowden: "ว้าว การตัดสินใจของ NSA ในการสร้างเครื่องมือโจมตีบนซอฟต์แวร์ของสหรัฐฯ ตอนนี้เป็นอันตรายต่อชีวิตของผู้ป่วยในโรงพยาบาล"

อย่างไรก็ตาม WikiLeaks ได้เตือนซ้ำแล้วซ้ำอีกว่าด้วยความปรารถนาอย่างบ้าคลั่งที่จะจับตาดูคนทั้งโลก หน่วยข่าวกรองของอเมริกาจึงแพร่กระจายมัลแวร์ แต่ถึงแม้จะไม่ใช่กรณีนี้ แต่คำถามก็เกิดขึ้นว่าซอฟต์แวร์ NSA ตกอยู่ในมือของผู้โจมตีได้อย่างไร อีกอย่างที่น่าสนใจก็คือ หน่วยงานข่าวกรองอเมริกันอีกแห่งคือ Department of Homeland Security กำลังเสนอให้กอบกู้โลกจากไวรัส

อย่างไรก็ตาม ขนาดที่แท้จริงของการโจมตียังไม่ได้รับการประเมิน การติดไวรัสของคอมพิวเตอร์ทั่วโลกยังคงดำเนินต่อไป มี "วัคซีน" เพียงตัวเดียว - ความระมัดระวังและความรอบคอบ สิ่งสำคัญคือต้องไม่เปิดไฟล์แนบที่น่าสงสัย ในเวลาเดียวกัน ผู้เชี่ยวชาญเตือน: จะมีมากขึ้น ความถี่และขนาดของการโจมตีทางไซเบอร์จะเพิ่มขึ้นเท่านั้น

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) เป็นโปรแกรมที่เป็นอันตราย เวิร์มเครือข่าย และแรนซัมแวร์ โปรแกรมเข้ารหัสไฟล์เกือบทั้งหมดที่จัดเก็บไว้ในคอมพิวเตอร์และต้องใช้ค่าไถ่สำหรับการถอดรหัส โปรแกรมที่เป็นอันตรายมีการลงทะเบียนประเภทนี้จำนวนมากในช่วงไม่กี่ปีที่ผ่านมา แต่ WannaCry โดดเด่นจากภูมิหลังของพวกเขาด้วยขนาดการจัดจำหน่ายและเทคนิคที่ใช้

ไวรัสแรนซัมแวร์นี้เริ่มแพร่กระจายเวลาประมาณ 10.00 น. และในตอนเย็นของวันที่ 12 พฤษภาคม สื่อเริ่มรายงานการติดไวรัสจำนวนมาก สิ่งพิมพ์ต่าง ๆ เขียนว่าการโจมตีของแฮ็กเกอร์เกิดขึ้นจากการถือครองที่ใหญ่ที่สุดรวมถึง Sberbank

คำถามของผู้ใช้ “แล็ปท็อปส่วนตัวปัจจุบันของฉันที่ใช้ Windows 7 Home Premium ติดตั้งแพตช์ต่าง ๆ โดยอัตโนมัติเมื่อฉันปิด ...

และแท็บเล็ต W10 ของฉันจะติดตั้งแพตช์ใหม่โดยอัตโนมัติเมื่อเปิดใช้งาน ... เดสก์ท็อปขององค์กรไม่อัปเดตระบบปฏิบัติการโดยอัตโนมัติเมื่อเปิดหรือปิดหรือไม่ " จริงหรือ - ทำไม?

หลังจากนั้นไม่นาน ช่องโหว่ทั้งชุดก็ถูกเผยแพร่สู่สาธารณะพร้อมกับวิดีโอการฝึกอบรม ใครๆ ก็ใช้ได้ ซึ่งเป็นสิ่งที่เกิดขึ้น ชุดช่องโหว่ประกอบด้วยเครื่องมือ DoublePulsar เมื่อเปิดพอร์ต 445 และไม่ ติดตั้งการปรับปรุง MS 17-010 โดยใช้ช่องโหว่ของคลาสการเรียกใช้โค้ดจากระยะไกล (ความสามารถในการแพร่เชื้อไปยังคอมพิวเตอร์จากระยะไกล (ช่องโหว่ NSA EternalBlue)) จึงเป็นไปได้ที่จะสกัดกั้นการเรียกของระบบและฉีดโค้ดที่เป็นอันตรายลงในหน่วยความจำ ไม่ต้องรับใดๆ อีเมล- หากคุณมีคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ต ใช้บริการ SMBv1 และไม่ได้ติดตั้งโปรแกรมแก้ไข MS17-010 ผู้โจมตีจะพบคุณเอง (เช่น โดยการโจมตีแบบเดรัจฉาน)

บทวิเคราะห์ WannaCry

โทรจัน WannaCry (หรือที่รู้จักในชื่อ WannaCrypt) เข้ารหัสไฟล์ด้วยส่วนขยายบางอย่างบนคอมพิวเตอร์และเรียกค่าไถ่จำนวน 300 ดอลลาร์ในบิตคอยน์ สามวันจะได้รับการชำระเงินจากนั้นจำนวนเงินจะเพิ่มเป็นสองเท่า

สำหรับการเข้ารหัสจะใช้อัลกอริทึม American AES พร้อมคีย์ 128 บิต

ในโหมดทดสอบ การเข้ารหัสจะดำเนินการโดยใช้คีย์ RSA ตัวที่สองที่ฝังอยู่ในโทรจัน ในกรณีนี้ สามารถถอดรหัสไฟล์ทดสอบได้

ไฟล์หลายไฟล์จะถูกสุ่มเลือกระหว่างกระบวนการเข้ารหัส โทรจันเสนอให้ถอดรหัสได้ฟรี เพื่อให้เหยื่อสามารถมั่นใจได้ว่าส่วนที่เหลือสามารถถอดรหัสได้หลังจากชำระเงินค่าไถ่แล้ว

แต่ไฟล์ตัวอย่างเหล่านี้และไฟล์อื่นๆ จะถูกเข้ารหัสด้วยคีย์ที่ต่างกัน ดังนั้นจึงไม่มีการรับประกันการถอดรหัส!

สัญญาณของการติดเชื้อ WannaCry

เมื่ออยู่ในคอมพิวเตอร์ โทรจันจะทำงานเป็นระบบ บริการ windowsชื่อ mssecsvc2.0 (ชื่อที่เห็นได้คือ Microsoft Security Center (2.0) Service)

เวิร์มสามารถรับข้อโต้แย้งได้ บรรทัดคำสั่ง... หากมีการระบุอาร์กิวเมนต์อย่างน้อยหนึ่งรายการ ให้พยายามเปิดบริการ mssecsvc2.0 และกำหนดค่าให้รีสตาร์ทเมื่อมีข้อผิดพลาด

เมื่อเปิดตัวแล้วจะพยายามเปลี่ยนชื่อไฟล์ C: \ WINDOWS \ taskche.exe เป็น C: \ WINDOWS \ qeriuwjhrf บันทึกจากทรัพยากรตัวเข้ารหัสโทรจันไปยังไฟล์ C: \ WINDOWS \ taskche.exe และเริ่มต้นด้วยพารามิเตอร์ / i . ในระหว่างการเปิดตัว โทรจันจะรับที่อยู่ IP ของเครื่องที่ติดไวรัสและพยายามเชื่อมต่อกับพอร์ต TCP 445 ของแต่ละที่อยู่ IP ภายในซับเน็ต ซึ่งจะค้นหาเครื่องในเครือข่ายภายในและพยายามแพร่เชื้อ

24 ชั่วโมงหลังจากที่เปิดตัวเป็นบริการของระบบ เวิร์มจะออกโดยอัตโนมัติ

สำหรับการกระจายของตัวเอง มัลแวร์จะเริ่มต้น Windows Sockets, CryptoAPI และเปิดหลายเธรด หนึ่งในนั้นแสดงรายการทุกอย่าง อินเทอร์เฟซเครือข่ายบนพีซีที่ติดไวรัสและสำรวจโฮสต์ที่มีอยู่ในเครือข่ายท้องถิ่น ส่วนที่เหลือจะสร้างที่อยู่ IP แบบสุ่ม เวิร์มพยายามเชื่อมต่อกับรีโมตโฮสต์เหล่านี้โดยใช้พอร์ต 445 หากพร้อมใช้งาน เวิร์มจะแพร่ระบาดไปยังโฮสต์เครือข่ายโดยใช้ช่องโหว่ในโปรโตคอล SMB ในเธรดที่แยกต่างหาก

ทันทีหลังจากเปิดตัว เวิร์มจะพยายามส่งคำขอไปยังเซิร์ฟเวอร์ระยะไกลซึ่งมีโดเมนอยู่ในโทรจัน หากได้รับการตอบกลับคำขอนี้จะสิ้นสุดลง

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimmr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

การป้องกัน WannaCrypt และแรนซัมแวร์อื่น ๆ

เพื่อป้องกันแรนซัมแวร์ WannaCry และการดัดแปลงในอนาคต คุณต้อง:

1. ปิดใช้งานบริการที่ไม่ได้ใช้รวมถึง SMB v1.

• เป็นไปได้ที่จะปิดการใช้งาน SMBv1 โดยใช้ PowerShell:
  ชุด-SmbServerConfiguration -EnableSMB1Protocol $ false
• ผ่านรีจิสทรี:
  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters, พารามิเตอร์ SMB1 ของประเภท DWORD = 0
• คุณยังสามารถลบบริการที่รับผิดชอบสำหรับ SMBv1 ได้ (ใช่ บริการแยกต่างหากจาก SMBv2 เป็นผู้รับผิดชอบเอง):
  sc.exe config lanmanworkstation ขึ้นอยู่กับ = bowser / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start = ปิดการใช้งาน

1. ปิดพอร์ตเครือข่ายที่ไม่ได้ใช้ด้วยไฟร์วอลล์ รวมถึงพอร์ต 135, 137, 138, 139, 445 (พอร์ต SMB)

รูปที่ 2 ตัวอย่างการบล็อกพอร์ต 445 ด้วยไฟร์วอลล์Windows

รูปที่ 3 ตัวอย่างการบล็อกพอร์ต 445 ด้วยไฟร์วอลล์Windows

1. จำกัดการเข้าถึงอินเทอร์เน็ตของแอปพลิเคชันโดยใช้โปรแกรมป้องกันไวรัสหรือไฟร์วอลล์

รูปที่ 4 ตัวอย่างการจำกัดการเข้าถึงอินเทอร์เน็ตไปยังแอปพลิเคชันโดยใช้ Windows Firewall