Kaip praneša Rusijos žiniasklaida, Vidaus reikalų ministerijos padalinių darbas keliuose Rusijos regionuose sutriko dėl daugybę kompiuterių užkrėtusios išpirkos programos, kuri grasina sunaikinti visus duomenis. Be to, buvo užpultas ryšių operatorius „Megafon“.

Mes kalbame apie WCry ransomware Trojos arklys (WannaCry arba WannaCryptor). Jis užšifruoja kompiuteryje esančią informaciją ir reikalauja 300 USD arba 600 USD išpirkos Bitcoin už iššifravimą.

@[apsaugotas el. paštas], užšifruoti failai, plėtinys WNCRY. Reikalinga paslaugų programa ir iššifravimo instrukcijos.

WannaCry užšifruoja failus ir dokumentus su šiais plėtiniais, failo pavadinimo pabaigoje pridėdama .WCRY:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

„WannaCry“ ataka visame pasaulyje

Išpuoliai buvo užfiksuoti daugiau nei 100 šalių. Didžiausias problemas patiria Rusija, Ukraina ir Indija. Pranešimų apie užsikrėtimą virusu gaunama iš JK, JAV, Kinijos, Ispanijos ir Italijos. Pažymima, kad įsilaužėlių ataka palietė ligonines ir telekomunikacijų bendroves visame pasaulyje. Internete galima rasti interaktyvų WannaCrypt grėsmės plitimo žemėlapį.

Kaip atsiranda infekcija?

Kaip sako vartotojai, virusas patenka į jų kompiuterius be jokių veiksmų ir nekontroliuojamai plinta tinkluose. Kaspersky Lab forume jie nurodo, kad net įjungta antivirusinė negarantuoja saugumo.

Pranešama, kad „WannaCry“ išpirkos reikalaujančios programinės įrangos ataka („Wana Decryptor“) įvyksta per „Microsoft Security Bulletin MS17-010“ pažeidžiamumą. Tada užkrėstoje sistemoje buvo įdiegtas rootkit, kurį naudodami užpuolikai paleido šifravimo programą. Visi „Kaspersky Lab“ sprendimai aptinka šį rootkit kaip MEM:Trojan.Win64.EquationDrug.gen.

Užsikrėtimas neva įvyko keliomis dienomis anksčiau, tačiau virusas pasireiškė tik užšifravęs visus kompiuteryje esančius failus.

Kaip pašalinti WanaDecryptor

Grėsmę galėsite pašalinti naudodami antivirusinę programą; dauguma antivirusinių programų grėsmę jau aptiks. Dažni apibrėžimai:

Avast Win32: WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Išpirka: Win32 / WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Jei jau paleidote grėsmę savo kompiuteryje ir jūsų failai buvo užšifruoti, failų iššifravimas beveik neįmanomas, nes išnaudojant pažeidžiamumą paleidžiamas tinklo šifruotojas. Tačiau jau yra keletas iššifravimo įrankių parinkčių:

Pastaba: Jei jūsų failai buvo užšifruoti ir nėra atsarginės kopijos, o esami iššifravimo įrankiai nepadėjo, tada prieš pašalinant grėsmę iš kompiuterio rekomenduojama išsaugoti užšifruotus failus. Jie bus naudingi, jei ateityje bus sukurtas jums tinkamas iššifravimo įrankis.

„Microsoft“: įdiekite „Windows“ naujinimus

„Microsoft“ teigė, kad vartotojai, turintys nemokamą bendrovės antivirusinę programą ir „Windows System Update“, bus apsaugoti nuo „WannaCryptor“ atakų.

Kovo 14 d. atlikti atnaujinimai ištaiso sistemos pažeidžiamumą, per kurį platinamas išpirkos reikalaujantis Trojos arklys. Šiandien aptikimo funkcija buvo įtraukta į „Microsoft Security Essentials“ / „Windows Defender“ antivirusinių duomenų bazes, siekiant apsaugoti nuo naujos kenkėjiškos programos, žinomos kaip „Ransom:Win32.WannaCrypt“.

• Įsitikinkite, kad antivirusinė programa įjungta ir įdiegti naujausi naujinimai.
• Įdiekite nemokamą antivirusinę programą, jei jūsų kompiuteryje nėra jokios apsaugos.
• Įdiekite naujausius sistemos naujinimus naudodami „Windows Update“:
  • Dėl „Windows 7“, 8.1 Meniu Pradėti atidarykite Valdymo skydas > Windows naujinimas ir spustelėkite Ieškoti naujinimų.
  • Dėl Windows 10 Eikite į „Nustatymai“ > „Atnaujinimas ir sauga“ ir spustelėkite „Patikrinti, ar nėra naujinimų“.
• Jei naujinimus diegiate rankiniu būdu, įdiekite oficialią Microsoft pataisą MS17-010, kuri pašalina SMB serverio pažeidžiamumą, naudojamą WanaDecryptor išpirkos reikalaujančios programinės įrangos atakoje.
• Jei jūsų antivirusinė programa turi apsaugą nuo išpirkos programų, įjunkite ją. Taip pat savo svetainėje turime atskirą skyrių „Ransomware Protection“, kuriame galite atsisiųsti nemokamų įrankių.
• Atlikite savo sistemos antivirusinį nuskaitymą.

Ekspertai pastebi, kad lengviausias būdas apsisaugoti nuo atakos yra uždaryti 445 prievadą.

• Įveskite sc stop lanmanserver ir paspauskite Enter
• Įveskite Windows 10: sc config lanmanserver start=disabled , kitoms Windows versijoms: sc config lanmanserver start= disabled ir paspauskite Enter
• Iš naujo paleiskite kompiuterį
• Komandų eilutėje įveskite netstat -n -a | findstr "KLAUSYMAS" | findstr ":445", kad įsitikintumėte, jog prievadas yra išjungtas. Jei yra tuščių eilučių, prievadas neklauso.

Jei reikia, atidarykite prievadą atgal:

• Paleiskite komandų eilutę (cmd.exe) kaip administratorių
• Įveskite Windows 10: sc config lanmanserver start=auto , kitose Windows versijose: sc config lanmanserver start=auto ir paspauskite Enter
• Iš naujo paleiskite kompiuterį

Pastaba: 445 prievadą „Windows“ naudoja failams bendrinti. Šio prievado uždarymas netrukdo kompiuteriui prisijungti prie kitų nuotolinių išteklių, tačiau kiti kompiuteriai negalės prisijungti prie sistemos.