WannaCry — как распространяется, лечение, защита от вируса. Вирус Wannacry – как защититься и восстановить данные

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о , относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным « Лаборатории Касперского» , наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы .

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Вирус « владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

• наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
• некоторые менее популярные типы документов (.sxw, .odt, .hwp).
• архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
• базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
• ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
• файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками.

Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю...

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему?

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

1. Отключить неиспользуемые сервисы, включая SMB v1.

• Выключить SMBv1 возможно используя PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Через реестр:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
• Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=disabled

1. Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

1. Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Вирус WannaCry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.

Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:

• коммерческих компаний;
• государственных структур;
• физических лиц.

Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:

• Индия;
• Украина;
• Россия.

За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.

Стоит ли ждать новой волны заражения и как обезопасить свой компьютер?

Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.

Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.

Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.

По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.

Профилактика и лечение

Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.

Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.

Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.

Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.

В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.

Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:

• выполнить специальный скрипт в утилите АВЗ;
• проверить настройки в системе HijackThis;
• запустить специализированное программное обеспечение Farbar Recovery Scan Tool.

При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.

Как обновить свою систему с точки зрения безопасности?

Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.

Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:

• 3210720;
• 3210721;

Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.

Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.

Вирус WannaCry «прогремел» на весь мир 12 мая, в этот день о заражении своих сетей заявили ряд медицинских учреждений в Великобритании, Испанская телекоммуникационная компания и МВД России сообщили об отражении хакерской атаки.

WannaCry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится невозможным.

На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию WannaCry:

1. Популярные файлы Microsoft Office (.xlsx, .xls, .docx, .doc).
2. Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry — как распространяется вирус

Ранее, мы упоминали об этом способе распространения вирусов в статье о , так что – ничего нового.

На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные.

Возможно, это не единственный метод распространения WannaCry – стать жертвой вы можете при скачивании «инфицированных» файлов в социальных сетях, торрент-трекерах и других сайтов.

WannaCry – как защититься от вируса шифровальщика

1. Установить патч для Microsoft Windows. 14 Мая компания Microsoft выпустила экстренный патч для следующих версий – Vista, 7, 8.1, 10, Windows Server. Установить данный патч можно просто запустив обновление системы, через службу обновлений Windows.

2. Использование антивирусного ПО с актуальными базами данных. Известные разработчики защитного ПО, такие, как Касперский, Dr.Web, уже выпустили обновление для своих продуктов содержащие информацию о WannaCry, тем самым обезопасив своих пользователей.

3. Сохранить важные данные на отдельный носитель. Если ваш компьютер еще не подает , вы можете сохранить наиболее важные файлы на отдельный носитель (flash-накопитель, диск). При таком подходе, даже став жертвой – вы сохраните наиболее ценные файлы от шифрования.

На данный момент – это все известные эффективные способы защиты от WannaCry.

WannaCry дешифратор, где скачать и возможно ли удалить вирус?

Вирусы шифровальщики относятся к разряду самых «противных» вирусов, т.к. в большинстве случаев, файлы пользователя шифруются 128bit’ным или 256bit’ным ключом. Самое страшное, в каждом случае — ключ уникален и на расшифровку каждого требуются огромные вычислительные мощности, что делает практически невозможным лечение «рядовых» пользователей.

Но, как же быть, если вы стали жертвой WannaCry и нужен дешифратор?

1. Обратитесь на форум поддержки Лаборатории Касперского — https://forum.kaspersky.com/ с описанием проблемы. На форуме работают, как представители компании, так и волонтеры, активно помогающие в решении проблем.

2. Как и в случае с известным шифровальщиком CryptXXX – было найдено универсальное решение для дешифрования файлов, подвергшихся кодированию. С момента обнаружения WannaCry прошло не более недели и специалисты из антивирусных лабораторий еще не успели найти такое решение для него.

3. Кардинальным решением будет — полное удаление OS с компьютера с последующей чистой установкой новой. При таком раскладе – все пользовательские файлы и данные полностью теряются, вместе с удалением WannaCry.

Начало мая этого года было ознаменовано огромной кибер-атакой, под которую попали государственные и частные компьютеры и компьютерные сети во всем мире. Для выполнения этой атаки злоумышленниками был использован неизвестный ранее вирус вымогатель Wanna Cry. О заражении своей техники сообщили представители 150-ти стран. В их число входят Россия, Индия, Украина, Италия, Великобритания, Германия, Испания, Япония, Португалия, Тайвань, и др.

Действие вируса Wanna Cry 2017 было ориентировано на то, чтобы, попав на компьютер, зашифровать имеющиеся на нем файлы, и вымогать за их дешифрацию выкуп. В противном случае пользователи могли навсегда лишиться своей информации.

В основном эпидемия вируса Wanna Cry распространилась на большие государственные структуры и учреждения. Например, такие как госструктуру России, лечебные заведения в Англии, железнодорожные перевозчики в Германии, информационные системы и энергетические объекты в Испании и Италии, пр. По статистическим дынным, которые были озвучены представителями национальной безопасности США, взлому были подвергнуты более 300 тыс. компьютеров во всем мире.

Что такое вирус WannaCry?

Компьютерный вирус Wanna Cry представляет собой своего рода плагин-криптор, который, внедряясь в систему компьютера, производит шифрование пользовательских файлов с помощью специального криптоустойчивого алгоритма. После таких действий вируса чтение файлов и операции с ними становятся невозможными. Среди наиболее распространенных файлов, которые шифрует интернет вирус Wanna Cry, относятся:

• файлы, созданные с помощью программного пакета Microsoft Office;
• файлы различных архивов;
• видео- фото- и аудиофайлы.

Вирус реализован в виде программы WanaCrypt0r 2.0, которая может распространяться с помощью e-mail или социальных сетей. Атака вируса Wanna Cry была ориентирована на компьютерные системы, которые управляются с помощью операционной системы Windows.

За дешифрацию закодированных файлов вирус шифровальщик Wanna Cry вымогает у пользователя ПК денежное вознаграждение, которое составляет 300…600 долларов. Оплату за разблокировку предлагалось оплатить с помощью, набирающей сейчас популярность, криптовалюты биткоин.

Кто создал вирус WannaCry?

Тот, кто запустил вирус Wanna Cry, использовал уязвимость операционной системы MSB-MS17-010, о которой многим было известно и ранее. В компании Microsoft было подтверждена информация о том, что вирусом действительно использовалась уязвимость их системы, информация о которой была выкрадена у комиссии нацбезопасности США (АНБ).

АНБ действительно владела информацией об этой уязвимости, которая была реализована в виде инструмента для реализации кибер-атаки EternalBlue. Позже алгоритмы этого инструмента попали в руки хакерской команды The Shadow Brokers, которая опубликовала их в общедоступный доступ в апреле этого года.

Специалисты компании Лаборатория Касперского, а также их коллеги из Symantec обратили внимание на то, что код вируса Wanna Cry очень похож на сигнатуры вируса, применяемого хакерской группировкой Lazarus Group в начале 2015 года, которая была замечена в связях с правительством КНДР. Подобное утверждение было подтверждено и представителями корейской компании Hauri Labs, которые также заметили сходство алгоритма вируса вымогателя с вредоносными кодами, используемыми северокорейскими хакерами. Возможно тот, кто создал вирус и имеет отношение к Lazarus Group, но пока это только догадки.

На сегодняшний день все же остается загадкой, как проявился вирус Wanna Cry, которую предстоит разгадать спецслужбам разных стран.

Принцип работы вируса

Создатели вируса Wanna Cry ориентировались прежде всего на крупные предприятия, где имеется много важной и ценной информации, за которую можно получить существенный выкуп. Но, не исключением стали и пользователи обычных домашних компьютеров, подключенных к глобальной сети Интернет.

Основным способом заражения вирусом является рассылка писем по электронной почте. В таком письме пользователю оправляется некая информация и ссылка, при переходе через которую, на компьютер происходит загрузка вредоносной программы WanaCrypt0r 2.0. Также заразить свой компьютер можно при неосторожном скачивании файлов с торрентов, файлообменников или при попытке открыть картинку, прослушать песню, к файлу которой прикреплен вирус.

После того, как программа WanaCrypt0r v2.0 была скачана на компьютер и запущена произойдет загрузка непосредственно и самого вируса. Далее он производит сканирование накопителей компьютера и выполняет шифрование имеющейся на них информации. Кодированию подвержены как системные файлы операционной системы, так и рабочие файлы пользователя, включая документы, фото, видео и пр. После того, как проявился вирус Wanna Cry, зашифрованные файлы на ПК будут иметь расширение WNCRY, а доступ к ним будет запрещен. При попытке использовать такие файлы на экране компьютера появится предупреждение о необходимости оплаты выкупа в биткоинах за то, чтобы произвести раскодировку файлов.

На сегодня вирус Wanna Cry остановлен, но не исключено, что атака со стороны хакеров может повториться снова, чтобы инфицировать еще большее число компьютеров.

Модифицировался ли вирус после заражения первой версией?

Перед тем, как заражению были подвергнуты компьютеры с помощью программы WanaCrypt0r v2.0, была еще первая версия этой программы WanaCrypt0r, которая отличалась только способом распространения. Все другие симптомы вирусы Wanna Cry имели одинаковые.

Используя описанную выше уязвимость, вирус Wanna Cry первой и второй модификации распаковывает свой инсталлятор, извлекает из архива сообщение о выкупе, которое выдается пользователю на том языке, который используется системой его компьютера (вирусом поддерживается 30 различных языков).

Следующим что делает вирус Wanna Cry – это закачивание TOR-браузера, посредством которого происходит поддержка связи с серверной системой, управляющей вирусом-шифровальщиком. После этой процедуры вирусом открывается полный доступ к файлам и каталогам, хранимым на накопителе компьютера. Таким образом расширяется число файлов, которые могут быть зашифрованы.

Признаки вируса Wanna Cry могут проявиться еще до того, как пользователь увидит сообщение о необходимости оплаты выкупа. Дело в том, что программа WanaCrypt0r v2.0 прописывает себя в автозагрузку и загружает впоследствии процессор компьютера и жесткий диск. Уже по этим признакам пользователь должен обратить внимание на систему своего компьютера и проверить ее на наличие вредоносных программ, среди которых может быть одна из версий Wanna Cry.

Последний из этапов действия вирусной программы является удаление всех резервных и теневых копий файлов, из которых их можно восстановить. Для реализации этой процедуры потребуется получение полных прав администратора операционной системы. В таком случае ОС может выдавать предупреждение от встроенной службы UAC. По неопытности пользователь может подтвердить получение доступа вирусу шифровальщику Wanna Cry, что делать категорически запрещается. Если пользователем будет сделан отказ, то эти файлы останутся, что существенно увеличит вероятность восстановления зашифрованной информации.

Какие ОС больше всего затронул вирус?

Многие пользователи ПК озадачены вопросом, какие версии Windows поражает вирус Wanna Cry. После такой мощной атаки каждый теперь старается защитить свою информацию как можно лучше. Вирус, который распространялся в майской кибер-атаке, был нацелен на операционные системы Windows, которые имели перечисленную выше уязвимость. Среди компьютеров, которые были заражены, оказались те, на которых была установлена ОС Windows Vista//7//8//10, а также Windows Server модификаций 2008//2012 и 2016.

Исследуя статистические данные о зараженных компьютерах, выяснилось что 98% из общего числа зараженных ПК поразил вирус Wanna Cry с Windows 7 . Именно эта операционная система оказалась менее всего защищенной от кибер-атаки. При этом, 60% из зараженных ПК использовали 64-разрядную версию операционки.

Чтобы защитить своих клиентов в будущем, выпущена заплатка Microsoft от вируса Wanna Cry. Для пользователей, которые используют уже неподдерживаемые операционные системы, с целью защиты Windows от вируса Wanna Cry Microsoft выпустила специальный патч, исключающий заражение файлов.

Что касается владельцев ПК с ОС Linux, вирус Wanna Cry их не затронул, как и владельцев техники с Mac OS. Также не распространился вирус Wanna Cry и на андроид устройства.

В каких странах наиболее распространен вирус?

Исследуя карту заражения вирусом Wanna Cry, можно сделать выводы, что эта кибер-атака была направлена на информационную систему России. Около 75% атак было направлено на компьютеры РФ. Второе и третье место в «рейтинге атакованных» занимают Украина и Индия. Но в отличие от Российской Федерации, Украина вирусом Wanna Cry, как и Индия были инфицированы менее 10%.

В перечень тех, кто пострадал от вируса Wanna Cry входят также пользователи Тайваня, Таджикистана, Казахстана, Люксембурка, Китая, Румынии, Италии, Испании. Такие страны, как Германия и Великобритания, в которых шла атака на их государственные объекты по числу заражений не попали в 20-ку этого «рейтинга».

Как уберечься от заражения?

На сегодняшний день вирус шифровальщик 2017 Wanna Cry остановлен – это удало сделать специалисту из Великобритании, который зарегистрировал доменное имя, к которому обращалась программа WanaCrypt0r. Благодаря этому удалось приостановить распространение вредоносного плагина через всемирную информационную сеть. Вопрос остается в другом – на долго ли? Поэтому каждый пользователей должен знать несколько правил, чтобы исключить заражение:

Следует загрузить последние обновления для своей ОС Windows (заплатка от Wanna Cry есть даже под уже устаревшую Windows XP);

• важно пользоваться антивирусными программами и постоянно обновлять их;
• чтобы вовремя обнаружить потенциально опасные файлы, которые могут быть признаками вируса Wanna Cry, следует в настройках Windows активировать опцию отображения расширения файлов;
• специалисты также рекомендуют произвести блокирование 445-го порта межсетевого экрана, посредством которого и осуществлялось заражение;
• следует быть внимательным к письмам, которые приходят на e-mail, не открывать подозрительные файлы, ссылки, быть аккуратным в соцсетях при просмотре фотографий и видео.

Что делать если заражение произошло?

Если избежать попадания вируса-шифровальщика на ПК избежать не удалось, важно не паниковать. Конечно, можно попробовать и заплатить выкуп, если есть лишние деньги, но где гарантия, что злоумышленники действительно расшифруют все файлы?

1. Если Вы стали жертвой вымогателя Wanna Cry следует обратиться на технический форум «Лаборатории Касперского» , где работают профессионалы компании и волонтеры-программисты, которые помогают решить эту проблему.
2. Сейчас ведется активная работа по разработке дешифровальщика информации, которая была обработана WanaCrypt0r и в ближайшем будущем он будет предложен пользователям.
3. Если вирус шифровальщик Wanna Cry заразил компьютер, на котором нет ценной информации, и пользователь может легко с ней расстаться, то избавиться от вредоносного кода можно и самостоятельно. Для этого достаточно произвести форматирование диска с полным удалением всей информации и последующей остановкой новой ОС.

Заключение

Кибер-атака Wanna Cry является не первым и не последним таким случаем, хотя и малоприятным. Чтобы защитить себя и свою информацию важно соблюдать давно установившиеся правила использования сетевых ресурсов. Нужно своевременно обновлять свою операционную систему, использовать встроенные инструменты безопасности, а также различные антивирусы. И что самое главное, быть аккуратным и внимательным при использовании информационных ресурсов. Ведь зачастую пользователи сами приносят беду на свой компьютер, пользуясь ресурсами с плохой репутацией, а также скачивая и используя неизвестные и непроверенные файлы.