Както съобщават руски медии, работата на отделите на Министерството на вътрешните работи в няколко региона на Русия е била нарушена поради софтуер за откуп, който е заразил много компютри и заплашва да унищожи всички данни. Освен това комуникационният оператор Мегафон беше атакуван.

Говорим за троянския кон WCry ransomware (WannaCry или WannaCryptor). Той криптира информацията на компютъра и иска откуп от $300 или $600 в биткойни за дешифриране.

@[имейл защитен], криптирани файлове, разширение WNCRY. Необходими са помощна програма и инструкции за дешифриране.

WannaCry криптира файлове и документи със следните разширения, като добавя .WCRY в края на името на файла:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry атака по целия свят

Регистрирани са атаки в над 100 държави. Най-големи проблеми изпитват Русия, Украйна и Индия. Съобщения за вирусна инфекция идват от Великобритания, САЩ, Китай, Испания и Италия. Отбелязва се, че хакерската атака е засегнала болници и телекомуникационни компании по целия свят. Интерактивна карта на разпространението на заплахата WannaCrypt е достъпна в интернет.

Как възниква инфекцията?

Както казват потребителите, вирусът попада на компютрите им без никакво действие от тяхна страна и се разпространява неконтролируемо в мрежите. Във форума на Kaspersky Lab те посочват, че дори активирана антивирусна програма не гарантира сигурност.

Съобщава се, че атаката на рансъмуер WannaCry (Wana Decryptor) се осъществява чрез уязвимостта на Microsoft Security Bulletin MS17-010. След това на заразената система е инсталиран руткит, чрез който нападателите стартират програма за криптиране. Всички решения на Kaspersky Lab откриват този руткит като MEM:Trojan.Win64.EquationDrug.gen.

Инфекцията се предполага, че е станала няколко дни по-рано, но вирусът се е проявил едва след като е шифровал всички файлове на компютъра.

Как да премахнете WanaDecryptor

Ще можете да премахнете заплахата с помощта на антивирус; повечето антивирусни програми вече ще открият заплахата. Често срещани определения:

Avast Win32:WanaCry-A, СР Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, MicrosoftОткуп: Win32/WannaCrypt, Панда Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ако вече сте стартирали заплахата на компютъра си и файловете ви са криптирани, декриптирането на файловете е почти невъзможно, тъй като използването на уязвимостта стартира мрежов криптатор. Въпреки това вече са налични няколко опции за инструменти за дешифриране:

Забележка: Ако вашите файлове са криптирани и няма резервно копие и съществуващите инструменти за декриптиране не са помогнали, тогава се препоръчва да запазите криптираните файлове, преди да почистите заплахата от вашия компютър. Те ще бъдат полезни, ако в бъдеще бъде създаден инструмент за дешифриране, който работи за вас.

Microsoft: Инсталирайте актуализации на Windows

Microsoft каза, че потребителите с безплатната антивирусна програма на компанията и Windows System Update ще бъдат защитени от атаки на WannaCryptor.

Актуализациите от 14 март коригират уязвимостта на системата, чрез която се разпространява троянският кон за откуп. Откриването днес беше добавено към антивирусните бази данни на Microsoft Security Essentials/Windows Defender за защита срещу нов зловреден софтуер, известен като Ransom:Win32.WannaCrypt.

• Уверете се, че вашата антивирусна програма е включена и са инсталирани най-новите актуализации.
• Инсталирайте безплатна антивирусна програма, ако компютърът ви няма защита.
• Инсталирайте най-новите системни актуализации с помощта на Windows Update:
  • За Windows 7, 8.1От менюто "Старт" отворете Контролен панел > Windows Update и щракнете върху Търсене на актуализации.
  • За Windows 10Отидете в Настройки > Актуализиране и защита и щракнете върху „Проверка за актуализации“.
• Ако инсталирате актуализации ръчно, инсталирайте официалната корекция на Microsoft MS17-010, която адресира уязвимостта на SMB сървъра, използвана при атаката на рансъмуер WanaDecryptor.
• Ако вашата антивирусна програма има защита от ransomware, включете я. Имаме и отделен раздел на нашия уебсайт, Ransomware Protection, където можете да изтеглите безплатни инструменти.
• Извършете антивирусно сканиране на вашата система.

Експертите отбелязват, че най-лесният начин да се предпазите от атака е да затворите порт 445.

• Въведете sc stop lanmanserver и натиснете Enter
• Въведете за Windows 10: sc config lanmanserver start=disabled , за други версии на Windows: sc config lanmanserver start= disabled и натиснете Enter
• Рестартирайте компютъра си
• В командния ред въведете netstat -n -a | findstr "СЛУШАНЕ" | findstr ":445", за да се уверите, че портът е деактивиран. Ако има празни редове, портът не слуша.

Ако е необходимо, отворете порта обратно:

• Стартирайте командния ред (cmd.exe) като администратор
• Въведете за Windows 10: sc config lanmanserver start=auto , за други версии на Windows: sc config lanmanserver start= auto и натиснете Enter
• Рестартирайте компютъра си

Забележка: Порт 445 се използва от Windows за споделяне на файлове. Затварянето на този порт не пречи на компютъра да се свързва с други отдалечени ресурси, но други компютри няма да могат да се свържат със системата.