А про те, що уривчасті відомості не дають повного розуміння ситуації, породжують домисли і залишають після себе більше запитань, ніж відповідей. Щоб розібратися, що відбувається насправді, кому і чим це загрожує, як захиститися від зараження і як розшифрувати файли, пошкоджені WannaCry, присвячена сьогоднішня стаття.
SSD, Smart TV приставки, ігрові відеокарти, процесори для ПК, МФУ, антивіруси, роутери, підсилювачі Wi-Fi, смартфони до 10000 рублів
Чи такий страшний "чорт" насправді
Не розумію, що за метушня навколо WannaCry? Вірусів багато, нові з'являються постійно. А цей ніж особливий?
WannaCry (інші назви WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) - не зовсім звичайний кіберзловред. Причина його сумної популярності - гігантські суми заподіяного збитку. За даними Європолу, він порушив роботу більше 200 000 комп'ютерів під управлінням Windows в 150 країнах світу, а збиток, який понесли їх власники, склав більше $ 1 000 000 000.І це тільки за перші 4 дні поширення. Найбільше постраждалих - в Росії та Україні.
Я знаю, що віруси проникають на ПК через сайти для дорослих. Я такі ресурси не відвідую, тому мені нічого не загрожує.
Вірус? Теж мені проблема. Коли на моєму комп'ютері заводяться віруси, я запускаю утиліту *** і через півгодини все в порядку. А якщо не допомагає, я перевстановлювати Віндовс.
Вірус вірусу - різниця. WannaCry - троян-здирник, мережевий черв'як, здатний поширюватися через локальні мережі та Інтернет від одного комп'ютера до іншого без участі людини.
Більшість шкідливих програм, в тому числі шифрувальників, починає працювати тільки після того, як користувач "проковтне наживку", тобто клацне по посиланню, відкриє файл і т. П. А щоб заразитися WannaCry, не потрібно робити взагалі нічого!Опинившись на комп'ютері з Віндовс, шкідливий за короткий час шифрує основну масу призначених для користувача файлів, після чого виводить повідомлення з вимогою викупу в розмірі $ 300-600, який потрібно перерахувати на вказаний гаманець протягом 3 днів. У разі зволікання він загрожує через 7 днів зробити розшифровку файлів неможливою.
Одночасно шкідливий шукає лазівки для проникнення на інші комп'ютери, і якщо знаходить, заражає всю локальну мережу. Це означає, що резервні копії файлів, що зберігаються на сусідніх машинах, теж приходять в непридатність.
Видалення вірусу з комп'ютера не приводить до розшифровки файлів! Перевстановлення операційної системи - теж. Навпаки, при зараженні шифрувальником обидва цих дії можуть позбавити вас можливості відновити файли навіть при наявності валидного ключа.Так що так, "чорт" цілком собі страшний.
Як поширюється WannaCry
Ви все брешете. Вірус може проникнути на мій комп, тільки якщо я сам його скачаю. А я пильний.
Багато шкідливі програми вміють заражати комп'ютери (і мобільні девайси, до речі, теж) через уразливості - помилки в коді компонентів операційної системи і програм, які відкривають кібер-зловмисникам можливість використовувати віддалену машину в своїх цілях. WannaCry, зокрема, поширюється через уразливість 0-day в протоколі SMB (уразливими нульового дня називають помилки, які на момент початку їх експлуатації шкідливим / шпигунським ПЗ не були виправлені).
Тобто для зараження комп'ютера хробаком-шифрувальником досить двох умов:
- Підключення до мережі, де є інші заражені машини (Інтернет).
- Наявності в системі вищеописаної лазівки.
Звідки ця зараза взагалі взялася? Це витівки російських хакерів?
За деякими даними (за достовірність не відповідаю), пролом в мережевому протоколі SMB, який служить для легального віддаленого доступу до файлів і принтерів в ОС Windows, першим виявило Агентство національної безпеки США. Замість того щоб повідомити про неї в Microsoft, щоб там виправили помилку, в АНБ вирішили покористуватися нею самі і розробили для цього експлойт (програму, яка експлуатує уразливість).
Візуалізація динаміки поширення WannaCry на сайті intel.malwaretech.com
Згодом цей експлойт (кодове ім'я EternalBlue), що служив якийсь час АНБ для проникнення на комп'ютери без відома власників, був вкрадений хакерами і ліг в основу створення вимагача WannaCry. Тобто завдяки не зовсім законним і етичним діям держструктури США вірусопісци і дізналися про уразливість.
Авторство шифрувальника точно не встановлено.
Я відключив установку оновлень Windows. Нафіг треба, коли і без них все працює.
Причина такого швидкого і масштабного поширення епідемії - відсутність на той момент "латки" - оновлення Windows, здатного закрити лазівку Wanna Cry. Адже щоб його розробити, був потрібен час.
На сьогоднішній день така латка існує. Користувачі, які оновлюють систему автоматично, отримали її в перші години після випуску. А ті, хто вважає, що оновлення не потрібні, до сих пір знаходяться під загрозою зараження.Кому загрожує атака WannaCry і як від неї захиститися
Наскільки я знаю, більше 90% комп'ютерів, заражених WannaCry, працювало під керуванням Windows 7. У мене "десятка", значить, мені нічого не загрожує.
Небезпеки зараження WannaCry піддаються всі операційні системи, які використовують мережевий протокол SMB v1. це:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- Windows RT 8.1
- Windows 10 v 1511
- Windows 10 v 1607
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
Підхопити зловреда по мережі сьогодні ризикують користувачі систем, на яких не встановлено критичне оновлення безпеки MS17-010 (Доступно для безкоштовного скачування з сайту technet.microsoft.com, на який наведено посилання). Патчі для Windows XP, Windows Server 2003, Windows 8 і інших підтримуються ОС можна завантажити з цієї сторінки support.microsoft.com. На ній же описані способи перевірки наявності рятівного поновлення.
Якщо ви не знаєте версію ОС на вашому комп'ютері, натисніть комбінацію клавіш Win + R і виконайте команду winver.
Для посилення захисту, а також при неможливості відновити систему зараз, Microsoft призводить інструкції з тимчасового відключення протоколу SMB версії 1. Вони знаходяться туті тут. Додатково, але не обов'язково можна закрити через брандмауер 445 порт TCP, який обслуговує SMB.
У мене найкращий в світі антивірус ***, з ним я можу робити що завгодно і мені нічого не страшно.
Поширення WannaCry може відбуватися не тільки вищеописаним самоходом, а й звичайними способами - через соціальні мережі, електронну пошту, заражені і фішингові веб-ресурси і т. Д. І такі випадки є. Якщо завантажити і запустити шкідливу програму вручну, то ні антивірус, ні патчі, що закривають уразливості, від зараження не врятують.
Дивіться також:
- Worm.NgrBot: небезпечний вірус який поширюється через Скайп
- Ботнет Win32.Rmnet.12 інфікував більше 3 мільйонів комп'ютерів
- Що таке вірус-вимагач?
- Як відключити оновлення Windows 10 або ласкаво просимо, віруси!
- Поради щодо захисту комп'ютера від вірусів і зловредів
Як працює вірус, що шифрує
Так нехай шифрує, що хоче. У мене друг програміст, він мені все розшифрує. В крайньому випадку знайдемо ключ методом перебору.
Ну зашифрує пару файлів і що? Це не завадить мені працювати на комп'ютері.
На жаль, не розшифрує, оскільки способів злому алгоритму шифрування RSA-2048, який використовує Wanna Cry, немає і в найближчому майбутньому не з'явиться. І зашифрує він не пару файлів, а практично все.
Наводити детальний опис роботи шкідливий я не буду, кому цікаво, може ознайомитися з його аналізом, наприклад, в блозі експерта Microsoft Matt Suiche. Зазначу тільки найбільш значущі моменти.
Шифруванню піддаються файли з розширеннями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf , .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb,. xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz , .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd,. ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch , .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln,. ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6 , .Lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots,. ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.
Як видно, тут і документи, і фото, і відео-аудіо, і архіви, і пошта, і файли, створені в різних програмах ... зловредів намагається дотягнутися до кожного каталогу системи.
Зашифровані об'єкти отримують подвійне розширення з припискою WNCRY, Наприклад, "Документ1.doc.WNCRY".
Після шифрування вірус копіює в кожну папку виконуваний файл @ WanaDecryptor @ .exe - нібито для дешифрування після викупу, а також текстовий документ @ Please_Read_Me @ .txt з повідомленням для користувача.
Далі він намагається винищити тіньові копії та точки відновлення Windows. Якщо в системі працює UAC, користувач повинен підтвердити цю операцію. Якщо відхилити запит, залишиться шанс відновити дані з копій.
Ключі шифрування ураженої системи WannaCry передає в командні центри, розташовані в мережі Tor, після чого видаляє їх з комп'ютера. Для пошуку інших вразливих машин він сканує локальну мережу і довільні діапазони IP в Інтернеті, а знайшовши, проникає на все, до чого зможе дістатися.
Сьогодні аналітикам відомо кілька модифікацій WannaCry з різним механізмом поширення, і найближчим часом, треба очікувати, з'являться нові.
Що робити, якщо WannaCry вже уразив комп'ютер
Я бачу, як файли змінюють розширення. Що відбувається? Як це зупинити?
Шифрування - не одномоментний процес, хоча і не дуже довгий. Якщо вам вдалося помітити його до появи на екрані повідомлення вимагача, ви можете врятувати частину файлів, негайно вимкніть живлення комп'ютера. Чи не завершенням роботи системи, а висмикуванням вилки з розетки!
При завантаженні Віндовс в нормальному режимі шифрування буде продовжено, тому важливо його не допустити. Наступний запуск комп'ютера повинен відбутися або в безпечному режимі, в якому віруси не активні, або з іншого придатного до завантаження носія.
Далі ваше завдання - про всяк випадок скопіювати вцілілі файли на знімний диск або флешку.Після цього можна приступати до ізнічтоженія гада.
Мої файли зашифровані! Вірус вимагає за них викуп! Що робити, як розшифрувати?
Розшифровка файлів після WannaCry можлива лише при наявності секретного ключа, який зловмисники обіцяють надати, як тільки потерпілий перерахує їм суму викупу. Однак подібні обіцянки майже ніколи не виконуються: навіщо розповсюджувачам зловреда напружуватися, якщо вони і так отримали що хотіли?
В окремих випадках вирішити проблему можна і без викупу. На сьогоднішній день розроблено 2 дешифратора WannaCry: WannaKey (Автор Adrien Guinet) і WanaKiwi (Автор Benjamin Delpy). Перший працює тільки в Windows XP, а другий, створений на основі першого, - в Windows XP, Vista і 7 x86, а також в північних системах 2003 2008 і 2008R2 x86.
Алгоритм роботи обох дешифраторів заснований на пошуку секретних ключів в пам'яті процесу шифрувальника. Це означає, що шанс на розшифровку є тільки у тих, хто не встиг перезавантажити комп'ютер. І якщо після шифрування пройшло не надто багато часу (пам'ять не була переписана іншим процесом).
Отже, якщо ви користувач Windows XP-7 x86, перше, що слід зробити після появи повідомлення з вимогою викупу, це відключити комп'ютер від локальної мережі та Інтернету і запустити дешифратор WanaKiwi, скачаний на іншому пристрої.До вилучення ключа не виконуйте ніяких інших дій на комп'ютері!Ознайомитися з описом роботи дешіфровщіка WanaKiwi можна в ще в одному блозі Matt Suiche.
Після розшифровки файлів запустіть антивірус для видалення зловредів і встановіть патч, що закриває шляхи його поширення.
Сьогодні WannaCry розпізнають практично всі антивірусні програми, за винятком тих, що не оновлюються, тому підійде майже будь-яка.
Як жити це життя далі
Епідемія трояна-здирника з самохідними властивостями застала світ зненацька. Для всіляких служб безпеки вона виявилася настільки ж несподіваною, як наступ зими 1 грудня для комунальників. Причина - безтурботність і авось. Наслідки - непоправна втрата даних і збитки. А для творців шкідливий - стимул продовжувати в тому ж дусі.Як вважають аналітики, WanaCry приніс розповсюджувачам дуже непогані дивіденди, а значить, атаки, подібні до цієї, будуть повторюватися. І тих, кого пронесло зараз, не обов'язково пронесе потім. Звичайно, якщо не потурбуватися про це заздалегідь.
Отже, щоб вам не довелося коли-небудь плакати над шифрованими файлами:
- Не відмовляйтеся від установки оновлень операційної системи і додатків.Це захистить вас від 99% загроз, які поширюються через незачинені уразливості.
- Тримайте включеним контроль облікових записів - UAC.
- Створюйте резервні копії важливих файлів і зберігайте їх на іншому фізичному носії, а краще - на кількох. У корпоративних мережах оптимально використовувати розподілені бази зберігання даних, домашні користувачі можуть взяти на озброєння безкоштовні хмарні сервіси типу Яндекс Диск, Google Диск, OneDrive, MEGASynk і т. Д. Не тримайте ці додатки запущеними, коли не користуєтеся ними.
- Вибирайте надійні операційні системи. Віндовс XP такою не є.
- Встановіть комплексний антивірус класу Internet Security і додатковий захист від здирників, наприклад, Kaspersky Endpoint Security. Або аналоги інших розробників.
- Підвищуйте рівень грамотності в протидії троянам-шифрувальник. Наприклад, антивірусний вендор Dr.Web підготував для користувачів і адміністраторів різних систем навчальні курси. Чимало корисної і, що важливо, достовірної інформації міститься в блогах інших розробників A / V.
- Як налаштувати безкоштовні канали на Smart TV
- Очищення пам'яті на Android: перевірені способи
- Калібрування акумулятора ноутбука
- Що таке UEFI і чим він кращий BIOS?
- Як робити бекапи Windows 10 на автоматі і навіщо це потрібно?
- Як прискорити завантаження Windows 10
- Якщо гальмує відео при перегляді онлайн
І головне: навіть якщо ви постраждали, не перекладайте зловмисникам гроші за розшифровку. Імовірність того, що вас обдурять, - 99%. Крім того, якщо ніхто платитиме, бізнес на вимаганні стане безглуздим. А інакше поширення подібної зарази буде тільки рости.