Вчера, 12 май, компютрите, работещи с операционни системи Windows по света, бяха подложени на най-голямата атака в последно време. Говорим за такъв, принадлежащ към класа Ransomware, тоест злонамерен рансъмуер, който криптира потребителски файлове и изисква откуп за възстановяване на достъпа до тях. В случая става дума за суми от $300 до $600, които жертвата трябва да прехвърли в конкретен портфейл в биткойни. Размерът на откупа зависи от времето, изминало от заразяването - след определен интервал се увеличава.

Според « Kaspersky Lab » , WannaCry беше най-разпространен в Русия

За да не се присъедините към редиците на тези, чиито компютри са заразени, е необходимо да разберете как зловредният софтуер прониква в системата. Според Kaspersky Lab атаката се възползва от уязвимост в SMB протокола, който позволява дистанционно изпълнение на програмен код. Базиран е на експлойта EternalBlue, създаден в рамките на Агенцията за национална сигурност на САЩ (NSA) и направен публично достъпен от хакери.

Microsoft представи корекция за проблема с EternalBlue в бюлетин MS17-010 от 14 март 2017 г., така че първата и основна мярка за защита срещу WannaCry трябва да бъде инсталирането на тази актуализация на защитата за Windows. Именно фактът, че много потребители и системни администратори все още не са го направили, е причината за такава мащабна атака, щетите от която тепърва ще бъдат оценени. Вярно е, че актуализацията е предназначена за онези версии на Windows, за които поддръжката все още не е прекратена. Но Microsoft пусна и корекции за наследени операционни системи като Windows XP, Windows 8 и Windows Server 2003. Можете да ги изтеглите от тази страница.

Също така се препоръчва да бъдете бдителни по отношение на писмата, които пристигат по имейл и други канали, да използвате актуализирана антивирусна програма в режим на наблюдение и, ако е възможно, да проверявате системата за заплахи. Ако активността MEM:Trojan.Win64.EquationDrug.gen бъде открита и елиминирана, рестартирайте системата и след това се уверете, че MS17-010 е инсталиран. В момента са известни осем имена на вируса:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Вирус « притежава » много езици

Не трябва да забравяме за редовното архивиране на важни данни. Моля, обърнете внимание, че WannaCry е насочен към следните категории файлове:

• най-често срещаните офис документи (.ppt, .doc, .docx, .xlsx, .sxi).
• някои по-малко популярни типове документи (.sxw, .odt, .hwp).
• архиви и медийни файлове (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• имейл файлове (.eml, .msg, .ost, .pst, .edb).
• бази данни (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• проектни файлове и изходни кодове (.php, .java, .cpp, .pas, .asm).
• ключове и сертификати за криптиране (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• графични формати (.vsd, .odg, .raw, .nef, .svg, .psd).
• файлове на виртуална машина (.vmx, .vmdk, .vdi).

И в заключение: ако инфекцията не може да бъде избегната, пак не можете да платите на нападателите. Първо, дори ако парите се прехвърлят в посочения биткойн портфейл, никой не гарантира дешифрирането на файловете. Второ, не можете да сте сигурни, че атака срещу същия компютър няма да се повтори и че киберпрестъпниците няма да поискат голяма сума откуп. И накрая, трето, плащането за „услугата“ за деблокиране ще възнагради тези, които извършват престъпни дейности в интернет и ще им служи като стимул да извършват нови атаки.