Όπως αναφέρουν ρωσικά μέσα ενημέρωσης, το έργο των τμημάτων του Υπουργείου Εσωτερικών σε αρκετές περιοχές της Ρωσίας έχει διακοπεί λόγω ενός ransomware που έχει μολύνει πολλούς υπολογιστές και απειλεί να καταστρέψει όλα τα δεδομένα. Επιπλέον, η εταιρεία τηλεπικοινωνιών Megafon δέχτηκε επίθεση.

Μιλάμε για το WCry ransomware Trojan (WannaCry ή WannaCryptor). Κρυπτογραφεί τις πληροφορίες στον υπολογιστή και απαιτεί λύτρα 300 ή 600 δολαρίων σε Bitcoin για αποκρυπτογράφηση.

@[email προστατευμένο], κρυπτογραφημένα αρχεία, επέκταση WNCRY. Απαιτούνται ένα βοηθητικό πρόγραμμα και οδηγίες αποκρυπτογράφησης.

Το WannaCry κρυπτογραφεί αρχεία και έγγραφα με τις ακόλουθες επεκτάσεις προσθέτοντας .WCRY στο τέλος του ονόματος αρχείου:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .pp .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Επίθεση WannaCry σε όλο τον κόσμο

Επιθέσεις καταγράφηκαν σε περισσότερες από 100 χώρες. Η Ρωσία, η Ουκρανία και η Ινδία βιώνουν τα μεγαλύτερα προβλήματα. Αναφορές μόλυνσης από τον ιό προέρχονται από το Ηνωμένο Βασίλειο, τις ΗΠΑ, την Κίνα, την Ισπανία και την Ιταλία. Σημειώνεται ότι η επίθεση χάκερ έπληξε νοσοκομεία και εταιρείες τηλεπικοινωνιών σε όλο τον κόσμο. Ένας διαδραστικός χάρτης της εξάπλωσης της απειλής WannaCrypt είναι διαθέσιμος στο Διαδίκτυο.

Πώς εμφανίζεται η μόλυνση;

Όπως λένε οι χρήστες, ο ιός εισέρχεται στους υπολογιστές τους χωρίς καμία ενέργεια από μέρους τους και εξαπλώνεται ανεξέλεγκτα στα δίκτυα. Στο φόρουμ της Kaspersky Lab επισημαίνουν ότι ακόμη και ένα ενεργοποιημένο antivirus δεν εγγυάται την ασφάλεια.

Αναφέρεται ότι η επίθεση ransomware WannaCry (Wana Decryptor) λαμβάνει χώρα μέσω της ευπάθειας του Microsoft Security Bulletin MS17-010. Στη συνέχεια, ένα rootkit εγκαταστάθηκε στο μολυσμένο σύστημα, χρησιμοποιώντας το οποίο οι εισβολείς ξεκίνησαν ένα πρόγραμμα κρυπτογράφησης. Όλες οι λύσεις της Kaspersky Lab εντοπίζουν αυτό το rootkit ως MEM:Trojan.Win64.EquationDrug.gen.

Η μόλυνση υποτίθεται ότι συνέβη λίγες μέρες νωρίτερα, αλλά ο ιός εκδηλώθηκε μόνο αφού είχε κρυπτογραφήσει όλα τα αρχεία στον υπολογιστή.

Πώς να αφαιρέσετε το WanaDecryptor

Θα μπορείτε να αφαιρέσετε την απειλή χρησιμοποιώντας ένα πρόγραμμα προστασίας από ιούς· τα περισσότερα προγράμματα προστασίας από ιούς θα εντοπίσουν ήδη την απειλή. Κοινοί ορισμοί:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Αρκτοειδές ζώο της ασίας Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Εάν έχετε ήδη εκκινήσει την απειλή στον υπολογιστή σας και τα αρχεία σας έχουν κρυπτογραφηθεί, η αποκρυπτογράφηση των αρχείων είναι σχεδόν αδύνατη, καθώς η εκμετάλλευση της ευπάθειας εκκινεί έναν κρυπτογράφηση δικτύου. Ωστόσο, αρκετές επιλογές για εργαλεία αποκρυπτογράφησης είναι ήδη διαθέσιμες:

Σημείωση: Εάν τα αρχεία σας ήταν κρυπτογραφημένα και δεν υπάρχει αντίγραφο ασφαλείας και τα υπάρχοντα εργαλεία αποκρυπτογράφησης δεν βοήθησαν, τότε συνιστάται να αποθηκεύσετε τα κρυπτογραφημένα αρχεία πριν καθαρίσετε την απειλή από τον υπολογιστή σας. Θα είναι χρήσιμα αν στο μέλλον δημιουργηθεί ένα εργαλείο αποκρυπτογράφησης που λειτουργεί για εσάς.

Microsoft: Εγκαταστήστε ενημερώσεις των Windows

Η Microsoft είπε ότι οι χρήστες με ενεργοποιημένο το δωρεάν πρόγραμμα προστασίας από ιούς της εταιρείας και την ενημέρωση συστήματος των Windows θα προστατεύονται από επιθέσεις WannaCryptor.

Οι ενημερώσεις με ημερομηνία 14 Μαρτίου διορθώνουν την ευπάθεια του συστήματος μέσω της οποίας διανέμεται το Trojan ransomware. Σήμερα η ανίχνευση προστέθηκε στις βάσεις δεδομένων προστασίας από ιούς Microsoft Security Essentials/Windows Defender για προστασία από ένα νέο κακόβουλο λογισμικό γνωστό ως Ransom:Win32.WannaCrypt.

• Βεβαιωθείτε ότι το πρόγραμμα προστασίας από ιούς είναι ενεργοποιημένο και ότι έχουν εγκατασταθεί οι πιο πρόσφατες ενημερώσεις.
• Εγκαταστήστε ένα δωρεάν πρόγραμμα προστασίας από ιούς εάν ο υπολογιστής σας δεν διαθέτει προστασία.
• Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις συστήματος χρησιμοποιώντας το Windows Update:
  • Για Windows 7, 8.1Από το μενού Έναρξη, ανοίξτε τον Πίνακα Ελέγχου > Windows Update και κάντε κλικ στην Αναζήτηση για ενημερώσεις.
  • Για Windows 10Μεταβείτε στις Ρυθμίσεις > Ενημέρωση και ασφάλεια και κάντε κλικ στο "Έλεγχος για ενημερώσεις".
• Εάν εγκαθιστάτε ενημερώσεις με μη αυτόματο τρόπο, εγκαταστήστε την επίσημη ενημέρωση κώδικα MS17-010 της Microsoft, η οποία αντιμετωπίζει την ευπάθεια διακομιστή SMB που χρησιμοποιείται στην επίθεση ransomware WanaDecryptor.
• Εάν το antivirus σας διαθέτει προστασία ransomware, ενεργοποιήστε το. Έχουμε επίσης μια ξεχωριστή ενότητα στον ιστότοπό μας, το Ransomware Protection, όπου μπορείτε να κατεβάσετε δωρεάν εργαλεία.
• Εκτελέστε σάρωση προστασίας από ιούς του συστήματός σας.

Οι ειδικοί σημειώνουν ότι ο ευκολότερος τρόπος για να προστατευτείτε από μια επίθεση είναι να κλείσετε τη θύρα 445.

• Πληκτρολογήστε sc stop lanmanserver και πατήστε Enter
• Enter για Windows 10: sc config lanmanserver start=disabled , για άλλες εκδόσεις των Windows: sc config lanmanserver start= disabled και πατήστε Enter
• Κάντε επανεκκίνηση του υπολογιστή σας
• Στη γραμμή εντολών, πληκτρολογήστε netstat -n -a | findstr "ΑΚΡΟΑΣΗ" | findstr ":445" για να βεβαιωθείτε ότι η θύρα είναι απενεργοποιημένη. Εάν υπάρχουν κενές γραμμές, η θύρα δεν ακούει.

Εάν είναι απαραίτητο, ανοίξτε τη θύρα πίσω:

• Εκτελέστε τη γραμμή εντολών (cmd.exe) ως διαχειριστής
• Enter για Windows 10: sc config lanmanserver start=auto , για άλλες εκδόσεις των Windows: sc config lanmanserver start= auto και πατήστε Enter
• Κάντε επανεκκίνηση του υπολογιστή σας

Σημείωση: Η θύρα 445 χρησιμοποιείται από τα Windows για κοινή χρήση αρχείων. Το κλείσιμο αυτής της θύρας δεν εμποδίζει τον υπολογιστή να συνδεθεί με άλλους απομακρυσμένους πόρους, αλλά άλλοι υπολογιστές δεν θα μπορούν να συνδεθούν στο σύστημα.