Вирусът WannaCry е програма за рансъмуер, която използва експлойта EternalBlue, за да зарази компютри, работещи с операционна система Microsoft Windows. Рансъмуерът е известен още като WannaCrypt0r, WannaCryptor, WCry и Wana Decrypt0r. След като удари целевия компютър, той бързо криптира всички файлове и ги маркира с едно от следните разширения: .wcry, .wncrytИ .wncry.

Вирусът прави данните безполезни чрез силно криптиране, променя тапета на работния плот, създава бележка за откуп „Моля, прочетете ме!.txt“ и след това стартира прозорец на програмата, наречен „WannaDecrypt0r“, който съобщава, че файловете на компютъра са криптирани. Зловреден софтуер призовава жертвата да плати откуп от $300 до $600 в биткойни и обещава да изтрие всички файлове, ако жертвата не плати парите в рамките на 7 дни.

Зловреден софтуер изтрива скритите копия, за да предотврати възстановяването на криптирани данни. Освен това рансъмуерът действа като червей, защото след като кацне на целевия компютър, той започва да търси други компютри, които да зарази.

Въпреки че вирусът обещава да възстанови вашите файлове след плащане, няма причина да се доверявате на престъпниците. Екипът на сайта препоръчва премахване на ransomware в безопасен режим, като се използват мрежови драйвери, като се използват програми против зловреден софтуер като .

Киберпрестъпниците са използвали този ransomware в масивна кибератака, която стартира в петък, 12 май 2017 г. Според последните доклади, злонамерената атака успешно е засегнала повече от 230 000 компютъра в повече от 150 страни.

Въздействието на кибератаката е ужасно, тъй като вирусът е насочен към организации от различни сектори, здравеопазването изглежда е най-силно засегнато. Заради атаката различни болнични услуги бяха спрени, като стотици операции бяха отменени. Първите големи компании, засегнати от изкупуването, са Telefonica, Gas Natural и Iberdrola, според докладите.

Някои от засегнатите компании имаха архивирани данни, докато други бяха изправени пред трагични последици. Без изключение всички жертви се съветват да премахнат WannaCry възможно най-скоро, тъй като това може да помогне за предотвратяване на по-нататъшното разпространение на ransomware.

WannaCry се разпространява с помощта на EternalBlue експлойт

Основният вектор на заразяване на ransomware WannaCry е експлойтът EternalBlue, който е кибер шпионски софтуер, откраднат от Агенцията за национална сигурност на САЩ (NSA) и публикуван онлайн от група хакери, известни като Shadow Brokers.

Атаката EternalBlue е насочена към уязвимостта на Windows CVE-2017-0145 в протокола на Microsoft SMB (Server Message Block). Уязвимостта вече е коригирана, според бюлетина за сигурност на Microsoft MS17-010 (издаден на 14 май 2017 г.). Експлойт кодът, използван от изпълнителите, е предназначен да зарази наследените Windows 7 и Windows Server 2008 системи, но според съобщенията потребителите на Windows 10 може да не бъдат засегнати от вируса.

Зловреден софтуер обикновено идва под формата на троянски капкомер, съдържащ набор от експлойти и самия ransomware. След това капкомерът се опитва да се свърже с един от отдалечените сървъри, за да изтегли рансъмуера на компютъра. Най-новите версии на WannaCry се разпространяват чрез girlfriendbeautiful[.]ga/hotgirljapan.jpg?i =1 в региона на APAC. Рансъмуерът може да засегне всеки, който няма познания за разпространението на рансъмуер, затова препоръчваме да прочетете това ръководство за предотвратяване на рансъмуер на WannaCry, изготвено от нашите експерти:

1. Инсталирайте актуализацията за сигурност на системата MS17-010, пусната наскоро от Microsoft, която ще поправи уязвимостта, използвана от ransomware. Актуализациите бяха пуснати изключително за по-стари операционни системи като Windows XP или Windows 2003.
2. Следете за актуализации на други компютърни програми.
3. Инсталирайте надежден антивирусен инструмент, за да защитите компютъра си от незаконни опити за заразяване на системата ви със зловреден софтуер.
4. Никога не отваряйте имейли, които идват от непознати или компании, с които не работите.
5. Деактивирайте SMBv1, като използвате инструкциите, предоставени от Microsoft.

Изследователят показва екранни снимки, направени по време на атаката на WannaCry. Можете да видите прозореца на Wanna Decrypt0r, както и изображението, зададено от WannaCry като фон на вашия работен плот, след като заразите системата и шифровате всички файлове в нея.
Метод 1. (Безопасен режим)
Изберете „Безопасен режим с работа в мрежа“ Метод 1. (Безопасен режим)
Изберете „Активиране на безопасен режим с работа в мрежа“

Изберете „Безопасен режим с команден ред“ Метод 2. (Възстановяване на системата)
Изберете „Активиране на безопасен режим с команден ред“
Метод 2. (Възстановяване на системата)
Въведете „cd recover“ без кавички и натиснете „Enter“
Метод 2. (Възстановяване на системата)
Въведете "rstrui.exe" без кавички и натиснете "Enter"
Метод 2. (Възстановяване на системата)
В прозореца „Възстановяване на системата“, който се показва, изберете „Напред“
Метод 2. (Възстановяване на системата)
Изберете вашата точка за възстановяване и щракнете върху „Напред“
Метод 2. (Възстановяване на системата)
Щракнете върху „Да“ и започнете възстановяване на системата ⇦ ⇨

пързалка 1 от 10

Версии на WannaCry

Вирусът използва криптографския шифър AES-128 за сигурно заключване на файлове, добавя файловото разширение .wcry към техните имена и иска да прехвърли 0,1 биткойн към предоставения виртуален портфейл. Зловреден софтуер първоначално е бил разпространен чрез спам имейли; Този конкретен вирус обаче не генерира много приходи за своите разработчици. Въпреки факта, че файловете, криптирани от този ransomware, се оказаха невъзстановими без ключ за дешифриране, разработчиците решиха да актуализират злонамерената програма.

Вирус рансъмуер WannaCrypt0r. Това е друго име за актуализираната версия на рансъмуера. Новата версия е насочена към уязвимостите на Windows като основен вектор на атака и криптира всички файлове, съхранявани в системата, за секунди. Заразените файлове могат да бъдат разпознати чрез разширения, добавени към името на файла непосредствено след оригиналното име на файла - .wncry, wncryt или .wcry.

Няма начин да възстановите повредени данни без резервни копия или частен ключ, създаден по време на процеса на криптиране на данни. Вирусът обикновено изисква 300 долара, но увеличава цената на откупа до 600 долара, ако жертвата не плати парите в рамките на три дни.

Рансъмуер вирус WannaDecrypt0r. WannaDecrypt0r е програма, която вирусът стартира след успешно проникване в целевата система. Изследователите вече са забелязали версии на Wanna Decryptor 1.0 и Wanna Decryptor 2.0, които се приближават към жертвите.

Злонамереният софтуер показва часовник за обратно броене, показващ колко време остава за плащане на откупа, преди цената му да достигне своя максимум, както и идентичен часовник за обратно броене, показващ колко време остава, докато вирусът изтрие всички данни от компютъра. Тази версия шокира виртуалната общност на 12 май 2017 г., въпреки че няколко дни по-късно беше спряна от изследовател по сигурността, който носи името MalwareTech.