Вірус wannacrypt
Друга декада травня 2017 ознаменувалася глобальним подією в області IT - сотні тисяч комп`ютерів були заражені новим вірусом, що має назву WannaCrypt.
хроніка подій
WannaCrypt почав своє поширення з Іспанії і Великобританії (за різною інформацією) 12 травня і швидко розійшовся по комп`ютерам усього світу. Атаки зазнали тільки системи під управлінням Windows, переважно старих її версій: Windows XP - 8. Жертвами зараження стали організації, в тому числі державні структури різного рівня, і рядові користувачі. У першу добу постраждало близько 45 тисяч машин в 74 країнах континенту, за наступні дні число країн, котрі підтвердили факт атаки WannaCrypt, зросла до 150, а кількість атакованих ПК перевищила 200 тисяч.
- хроніка подій
- Технічна складова
- Тимчасове рішення проблеми
- Щоб уникнути зараження
- Чи не вдалося запобігти проникненню WannaCrypt
У Британії постраждали медичні установи, зникли результати робіт кількох останніх днів, в Німеччині - сервери великого ж / д оператора, кілька автомобільних брендів призупинило роботу заводів для перевірки комп`ютерів. У США почалися перебої в роботі служби доставки, в Іспанії було завдано збитків енергетичним, комунікаційним, консалтинговим компаніям і банку, а Росія відзначила зараження комп`ютерів Мегафона, деякими порушеннями в роботі ж / д транспорту і ГИБДД. Навіть представники слідчого комітету і МВС заявили, що небезпека локалізована. Масштаб, дійсно, немаленький. Україна подія, що дивно, фактично обійшло стороною, незважаючи на що завершилися свята і велика кількість неліцензійного ПЗ на комп`ютерах користувачів, бізнесу і навіть держструктур.
Більше за всіх постраждали Тайвань, Росія і Індія, а Захід почав шукати слід російських хакерів в цій історії. Експерт в безпеки Е. Сноуден прокоментував подію, як копітку роботу АНБ, на що вказують непрямі докази. Хтось шукає риси діяльності міжнародних хакерських організацій, але винуватець навряд чи буде знайдений і покараний.
Поширюється шкідлива програма, за великим рахунком, через електронну пошту у вигляді виконуваного додатка, скрипта - мініатюрної програми з розширенням .js або .vbs, або ж посилання на зовнішній ресурс. Що цікаво, виконаний модуль у вигляді хробака, здатного заражати інші комп`ютери мережі, в якій знаходиться машина, вже постраждала від його діяльності.
Технічна складова
У Windows для файлового обміну по мережі використовується протокол SMB, створений IBM ще в 1983 році і давно застарілий, так як призначений для вирішення широкого кола завдань. Навіть після кількох оновлень, істотно модернізувати технологію, хтось відшукав діру в найпершій версії SMB з відкритим портом TCP 445 і скористався нею для запуску WannaCrypt. Працює вірус за наступною схемою.
- Проникнувши на ПК, запускає процес розпакування власного інсталятора.
- Після установки вірус завантажує анонімний браузер TOR в тлі.
- За допомогою оглядача встановлює з`єднання з власними серверами.
- Виконує скрипт, який надає привілеї для шифрування файлів на зараженому ПК.
- Завершує системні процеси, які не позначаться на працездатності ОС і шифрує всі доступні бази даних.
- Приступає до кодування інформації.
Шифруванню піддаються файли більше 160 поширених форматів, в число яких не входять файли 1C.
До заблокованого об`єкту додається розширення wncry, а в кожен порушене їм каталог копіюється текстовік з інструкцією з дешифрування і дешифровщик - @ WanaDecryptor @ .exe.
- Черговим етапом роботи WannaCrypt є безповоротне стирання копій заблокованих об`єктів (як він надходить в разі, коли для зберігання зашифрованих дублікатів на диску недостатньо місця, поки не повідомляється), щоб позбавити користувача можливості відновити їх безкоштовно.
Тут потрібні розширені привілеї з боку ОС, якщо служба UAC активована. У разі відмови вірусу у виконанні дії копії документів залишаться, зробивши можливим повернення зашифрованої інформації абсолютно безкоштовно.
- Далі відобразиться вікно «WannaCrypt0r 2.0» з попередженням про те, що ваші файли піддалися шифрування за складним алгоритмом, і подальша робота при таких умовах неможлива.
Щоб її продовжити, необхідно перевести суму в біткоіни, еквівалентну $ 300 або $ 600, на вказаний рахунок. Якщо після закінчення трьох діб ключ для дешифрування викуплений ні, сума подвоюється, а через тиждень після інфікування, інформація буде безповоротно видалена. Повідомлення переведено на 3 десятка мов, які вибираються в випадаючому меню. Спочатку послання відображається на використовуваному в системі за замовчуванням мовою.
Офіційно вірус називається Ransom: Win32.WannaCrypt, юзерам відомий він під назвами: WCry, WannaCrypt, Wanna Cry. Це вірус-шифрувальник, експлойт - використовує недоліки і уразливості в ПЗ додаток для атаки і зараження комп`ютерів, і ransomware - шкідливий софт, створений для вимагання грошей.
винні
Цікаво, що Microsoft випустили патч для виправлення уразливості MS17-010 за 2 місяці до атак - 14.03.2017 року, і всі користувачі, які активно оновлюються або залишають функцію автоматичного завантаження та інсталяції апдейтів включеної, не постраждали. У лютому 2017 з`явилися перші, не настільки вдалі, версії WannaCry, вони і змусили Майкрософт до рішучих дій.
Також софтверна корпорація випустила оновлення для XP, кою перестали підтримувати ще в 2014 році, для Server 2003 - 2016, Vista, 7, і «вісімки». Ці заплатки можна і настійно рекомендується завантажити з офіційного сайту Майкрософт. По крайней мере, на якийсь час проблема буде вирішена.
Факт, що постраждали користувачі, які не користуються автоматичним оновленням системи всупереч рекомендаціям софт-гіганта, поряд з появою патча, наявність кого не дозволяє WannaCrypt діяти, за 2 місяці до масових заражень, наводить на певні думки. Мовляв, «не хочете оновлюватися добровільно, ми змусимо робити це примусово». На користь висновку говорить і усунення вразливості в Windows 10, відомої своїм призначеним для користувача угодою і обмеженням свободи дій користувача.
Експлоїт EternalBlue раніше використовувався АНБ, що підтвердили представники міжнародної хакерської групи публікацією інструментів агентства нацбезпеки США, зробивши і себе підозрюваними в здійсненні злочину.
Тимчасове рішення проблеми
Спеціаліст в області безпеки відомим тільки йому способом, зміг виявити, що вірус звертається по неіснуючому і на перший погляд безглуздого доменному імені iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Після його створення, шкідлива програма тимчасово припинила подорож по мережі через вдале переходу з вищезазначеного URL. Незабаром процес запустився знову, після незначної модифікації тіла програми з огляду на зміни домену, якому ПО відправляє запит.
Щоб уникнути зараження
Користувачам Windows 10 нинішня модифікація шкідливої програми не страшна. У ній закрита використовувана для запуску скриптів вразливість. Всім іншим рекомендується дотримуватися наведених нижче рекомендацій.
- Інсталювати на комп`ютер антивірусну програму Avast і оновити її. Антивірус знаходить і блокує всі версії WannaCrypt.
- Закрити порт 445, якщо він відкритий.
Перевіряємо, чи відкритий даний порт: йдемо на сайт https://canyouseeme.org/, вводимо номер порту в полі введення тексту натискаємо «Check port». Перевіряємо статус: якщо над формою з`явився напис «Error» з рядком «Connection timed out», все нормально, загроза не страшна навіть при попаданні вірусу на ПК.
Якщо порт відкритий і не використовується, виконуємо інструкцію.
- Викликаємо пункт панелі управління «Програми та засоби».
- Кількома за посиланням «Вкл. / Викл. компонентів Windows ».
- Прибираємо прапорець, який стоїть біля пункту «SMB1.0 / CIFS ...».
- Кількома «ОК» і перезапускати.
- Microsoft же пропонує перейти по посиланню https://technet.microsoft.com/en-us/library/security/ms17-010.aspx для своєї версії Windows.
- Увімкнення модуля «Моніторинг системи» в продуктах від Касперського.
- Проскануйте ПК на наявність загроз.
Переходьте на невідомі ресурси тільки з повною впевненістю в їх безпеки і надійності, будьте уважні при завантаженні додатків.
- Запустіть оснащення «Служби».
- Тиснемо Win + R.
- Виконуємо «services.msc».
- Викликаємо «Властивості» служби «Сервер» або «Server».
- Відключаємо її автоматичний старт і зупиняємо.
І навіть після всіх цих заходів можна очікувати свіжої модифікації WannaCrypt.
Чи не вдалося запобігти проникненню WannaCrypt
Все-таки стали жертвою шахраїв або роботи спецслужб, але у вікні UAC відмовили в наданні виконуваного файлу вірусу розширених привілеїв? Тоді врятувати дані можна.
- Перезавантажуємося і запускаємо ПК в безпечному режимі з підтримкою мережі.
- Викачуємо додаток для видалення вірусів, начебто Anti-malware, AVZ.
- Скануємо ПК і видаляємо всі шкідливі файли.
- Після знищення всіх слідів вірусу, завантажуємо утиліту-дешифровщик і додаток для роботи з тіньовими копіями (Shadow Explorer).
Якщо вже підтвердили видалення тіньових копій, отримати назад особисті дані буде дуже непросто.
Як бачимо, убезпечити себе від такої страшної загрози нескладно, і набагато простіше, ніж усувати наслідки її функціонування. А цими простими правилами та інструкціями нехтують навіть в установах державного рівня, за що платять цінною інформацією.
Буду вдячний, якщо скористаєтеся кнопочками:
- 32-Разрядная і 64-розрядна версії windows 7: питання і відповіді
- «Видаляються» вірус для windows зміцнює свої позиції
- Любов до windows 7 в росії
- Статті про windows
- Apple відмовилася від safari для windows
- Переваги та недоліки windows 10
- Рівень зараження windows 7 шкідливими програмами зростає, а у xp знижується
- Вірус, який перемагає будь-які антивіруси
- Знайдений новий спосіб обходу антивірусного захисту
- Ботнет. Як створюються ботнети. Засоби захисту від ботнетів
- Internet explorer 8 зламали за п`ять хвилин
- Інтернет може закінчитися 5-го травня
- Комп`ютерний вірус ебола
- Виявлено новий супервірус небаченої складності
- 10 Найнебезпечніших вірусів в історії інтернету
- Троянці-шифрувальники шифрують файли на жорсткому диску комп`ютера
- Виявлена нова уразливість в internet explorer
- 10 Великих фінансових інтернет-злочинів
- Мобільний інтернет - вибір молоді
- Основні компоненти та різновиди комп`ютерних мереж
- Все папки на флешці стали ярликами