اکنون می توان با اطمینان گفت که حمله ای که چند روز پیش توسط یک ویروس رمزگذاری حیله گر جدید انجام شد. می خواهی گریه کنی- همچنین به عنوان WannaCryptor یا WanaDecryptor شناخته می شود - بزرگترین در زمان نگارش مقاله، نه تنها در میان چنین عفونت هایی، بلکه به طور کلی جهانی ترین در تاریخ. اینترنت هرگز به این شکل تکان نخورده است. صدها هزار کامپیوتر خانگی و اداری در سراسر جهان آلوده شدند، اما روسیه بار دیگر بیشترین ضربه را خورد. عمدتاً به این دلیل که اکثر سیستم‌عامل‌های نصب‌شده ویندوز دارای مجوز نیستند و همه از محافظت ضد ویروس معمولی استفاده نمی‌کنند، به امید اینکه «شاید».

ویژگی های متمایز Wanna Cryptor

تفاوت اساسی اصلی بین بدافزار جدید و انواع مشابه قبلی در این است. پیش از این، یک ویروس رمزگذاری می‌توانست روی رایانه یا لپ‌تاپ شروع به کار کند، فقط پس از اینکه کاربر یک فایل اجرایی را که از طریق پست دریافت کرده یا با خود آورده است، راه‌اندازی کند. باج افزار Wanna Cry بدون این کار به خوبی کار می کند.

با استفاده از آسیب پذیری سرویس دسترسی به فایل در پورت 445، او وارد سیستم عامل می شود و شروع به رمزگذاری همه چیز می کند: اسناد، بایگانی ها، تصاویر، فایل های ویدئویی و صوتی و غیره. شما می توانید چنین فایلی را با پسوند آن تشخیص دهید WNCRY.
اگر رایانه شخصی در یک شبکه محلی باشد، ویروس به سایر ماشین های موجود در شبکه سرایت می کند و همه را آلوده می کند.
شایان ذکر است که علاوه بر همه چیز، سرویس هایی مانند mysqld.exe، sqlwriter.exe، sqlserver.exe، Microsoft.Exchange را نیز متوقف می کند تا به پایگاه داده های آنها دسترسی داشته باشد.
بازیابی اطلاعات پس از ویروس باج افزار Wanna Cryptor غیرممکن است. حداقل فعلا. شاید بعداً وضعیت تغییر کند، اما در حال حاضر هیچ وسیله ای برای بازیابی اطلاعات پس از حمله وجود ندارد

چگونه از خود در برابر باج افزار محافظت کنیم

برای محافظت از خود در برابر حمله احتمالی ویروس کریپتو، با رفتن به Windows Update شروع کنید. اگر به‌روزرسانی‌هایی در دسترس هستند، حتماً آن‌ها را نصب کنید.

اگر به دلایلی نمی توانید از مرکز به روز رسانی استفاده کنید، می توانید راه دیگری را انتخاب کنید. شما باید به وب سایت پشتیبانی فنی مایکروسافت (لینک) بروید و پچ مایکروسافت را که با عجله توسط توسعه دهندگان منتشر شده است از آنجا دانلود کنید. MS17-010برای نسخه سیستم عامل ویندوز شما.

مرحله دوم، برای اطمینان، توصیه می‌کنم با غیرفعال کردن کامل پشتیبانی از پروتکل آسیب‌پذیر SMB (Samba) نسخه 1، پشتیبانی را به طور کامل غیرفعال کنید. این به ویژه برای کاربران خانگی که یک رایانه یا لپ‌تاپ دارند و حتی بدون روتر متصل هستند صادق است. ، مستقیماً به شبکه ارائه دهنده. برای انجام این کار، خط فرمان ویندوز را با حقوق Administrator اجرا کنید و دستور را وارد کنید:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

کلید "Enter" را فشار دهید و به نتیجه نگاه کنید.

عملیات باید با موفقیت کامل شود.

مرحله سوم این است که تنظیمات فایروال خود را بررسی کنید. توصیه می شود که پورت های 135-139، 445 بسته شوند. حداقل تا زمانی که همه‌گیری ویروس باج‌افزار از بین برود. اگر از فایروال استاندارد ویندوز استفاده می کنید و هیچ چیز شخص ثالثی نصب نشده است، توصیه می کنم قوانین مناسب را در آن ایجاد کنید. برای این کار دوباره خط فرمان را با حقوق Administrator باز کنید و دستورات زیر را یکی یکی وارد کنید:

فایروال netsh advfirewall add rule dir=in action=block protocol=tcp localport=135 name=»Block_TCP-135″
فایروال netsh advfirewall add rule dir=in action=block protocol=tcp localport=137 name=»Block_TCP-137″
فایروال netsh advfirewall add rule dir=in action=block protocol=tcp localport=138 name=»Block_TCP-138″
فایروال netsh advfirewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″
فایروال netsh advfirewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

پس از هر دستور، Enter را فشار دهید و به نتیجه نگاه کنید - باید "OK" باشد. اگر این برای شما دشوار است، از یک ابزار ساده استفاده کنید پاک کننده درب های کرم ویندوز. این نیازی به دانش اضافی ندارد - فقط تمام موارد را در غیرفعال کردن بررسی کنید.

مرحله چهارم - حتما پایگاه داده آنتی ویروس خود را به روز کنید! اگر اصلاً آن را نصب نکرده اید، وقت آن است که آن را نصب کنید.

درمان باج افزار Wanna Cry

متأسفانه، در مرحله ترمینال، زمانی که فایل‌ها از قبل رمزگذاری شده‌اند و پنجره WannaDecryptor 2.0 با یک هشدار ظاهر می‌شود، برای «نوشیدن برجومی» خیلی دیر شده است. درمان آن بی فایده است، زیرا نمی توانید فایل های رمزگذاری شده قبلی را رمزگشایی کنید. اما اگر عفونت به تازگی به سیستم عامل نفوذ کرده باشد، این شانس وجود دارد که حداقل چیز دیگری را ذخیره کنید. اولین علامت شناخته شده ظاهر میانبر WannaCry بر روی دسکتاپ است. علامت دیگر بارگذاری CPU توسط یک فرآیند ناشناخته است. در این صورت چه باید کرد؟
1. کامپیوتر را از اینترنت جدا کرده و به ویندوز راه اندازی مجدد کنید.
2. ویژگی های میانبر رمزگشا را باز کنید و ببینید که خود فایل اجرایی در کجا قرار دارد.
3. پوشه حاوی ویروس را حذف کنید.
به طور معمول شامل فایل های زیر است:
b.wnry، c.wnry، r.wnry، s.wnry، t.wnry، taskdl.exe، taskse.exe، u.wnry
4. در حالت عادی بوت کنید و سیستم عامل را با یک آنتی ویروس خوب چک کنید و پچ مایکروسافت را نصب کنید.
و نکته دیگر - فایل های رمزگذاری شده با پسوند .ونگریهبهتره حذفش نکنی این احتمال وجود دارد که متخصصان آزمایشگاه آنتی ویروس در نهایت بتوانند کلید رمزگشایی را پیدا کنند.