Dabar galime drąsiai teigti, kad ataka, kurią prieš kelias dienas įvykdė naujas gudrus šifravimo virusas Nori verkti- taip pat žinomas kaip "WannaCryptor" arba "WanaDecryptor" - didžiausias rašymo metu ne tik tarp tokių infekcijų, bet ir apskritai didžiausias istorijoje. Internetas dar niekada nebuvo taip supurtytas. Šimtai tūkstančių namų ir biuro kompiuterių visame pasaulyje buvo užkrėsti, tačiau Rusija vėl nukentėjo labiausiai. Daugiausia todėl, kad dauguma įdiegtų „Windows“ operacinių sistemų nėra licencijuotos, o ne visi naudoja įprastą antivirusinę apsaugą, tikėdamiesi „gal“.

Išskirtinės „Wanna Cryptor“ savybės

Pagrindinis esminis skirtumas tarp naujos kenkėjiškos programos ir ankstesnių panašių variantų yra šis. Anksčiau šifravimo virusas kompiuteryje ar nešiojamajame kompiuteryje galėjo pradėti veikti tik tada, kai vartotojas pats paleido paštu gautą arba su savimi atsineštą vykdomąjį failą. „Wanna Cry“ išpirkos reikalaujanti programa puikiai veikia ir be to.

Naudodamasis failų prieigos paslaugos pažeidžiamumu 445 prievade, jis patenka į operacinę sistemą ir pradeda šifruoti viską: dokumentus, archyvus, vaizdus, ​​vaizdo ir garso failus ir kt. Tokį failą galite atskirti pagal jo plėtinį .WNCRY.
Jei kompiuteris yra vietiniame tinkle, virusas plinta į kitus tinklo įrenginius, užkrėsdamas visus.
Verta paminėti, kad, be visko, jis taip pat sustabdo tokias paslaugas kaip mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange, kad galėtų turėti prieigą prie jų duomenų bazių.
Neįmanoma atkurti duomenų po Wanna Cryptor išpirkos reikalaujančio viruso. Bent jau kol kas. Galbūt vėliau situacija pasikeis, tačiau šiuo metu nėra galimybių atkurti duomenis po atakos

Kaip apsisaugoti nuo išpirkos reikalaujančių programų

Norėdami apsisaugoti nuo galimo kriptovaliutų atakos, pirmiausia eikite į „Windows Update“. Jei yra naujinimų, būtinai juos įdiekite.

Jei dėl kokių nors priežasčių negalite naudotis naujinimo centru, galite pasirinkti kitą būdą. Turite apsilankyti „Microsoft“ techninės pagalbos svetainėje (nuoroda) ir iš ten atsisiųsti kūrėjų skubiai išleistą „Microsoft“ pataisą. MS17-010 jūsų „Windows“ operacinės sistemos versijai.

Antrasis žingsnis, be abejo, rekomenduočiau visiškai išjungti palaikymą, visiškai išjungus pažeidžiamo protokolo SMB (Samba) 1 versijos palaikymą. Tai ypač pasakytina apie namų vartotojus, kurie turi vieną kompiuterį ar nešiojamąjį kompiuterį ir netgi prisijungę be maršrutizatoriaus. , tiesiai į teikėjo tinklą. Norėdami tai padaryti, paleiskite „Windows“ komandų eilutę su administratoriaus teisėmis ir įveskite komandą:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Paspauskite klavišą „Enter“ ir pažiūrėkite į rezultatą.

Operacija turėtų būti sėkmingai baigta.

Trečias žingsnis – patikrinti ugniasienės nustatymus. Patartina, kad 135-139, 445 prievadai būtų uždaryti. Bent jau tol, kol praeis ransomware viruso epidemija. Jei naudojate standartinę „Windows“ užkardą ir neįdiegta nieko trečiosios šalies, rekomenduoju joje sukurti atitinkamas taisykles. Norėdami tai padaryti, dar kartą atidarykite komandų eilutę su administratoriaus teisėmis ir po vieną įveskite šias komandas:

netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=5000 name=»Block_TCP-5000″

Po kiekvienos komandos paspauskite Enter ir pažiūrėkite į rezultatą - jis turėtų būti „OK“. Jei jums tai sunku, naudokite paprastą įrankį „Windows Worms“ durų valiklis. Tam nereikia jokių papildomų žinių – tiesiog patikrinkite visus elementus išjungti.

Ketvirtas žingsnis – būtinai atnaujinkite antivirusinę duomenų bazę! Jei jo visai neįdiegėte, laikas jį įdiegti.

Wanna Cry išpirkos reikalaujančios programos gydymas

Deja, terminalo stadijoje, kai failai jau užšifruoti ir pasirodo WannaDecryptor 2.0 langas su įspėjimu, jau per vėlu „gerti Borjomi“. Tai nenaudinga, nes negalėsite iššifruoti jau užšifruotų failų. Bet jei infekcija ką tik prasiskverbė į operacinę sistemą, tada yra galimybė išsaugoti bent ką nors kita. Pirmasis žinomas ženklas yra „WannaCry“ nuorodos atsiradimas darbalaukyje. Kitas ženklas yra procesoriaus apkrova dėl nežinomo proceso. Ką tokiu atveju daryti?
1. Atjunkite kompiuterį nuo interneto ir perkraukite į Windows.
2. Atidarykite iššifruotojo nuorodos ypatybes ir pažiūrėkite, kur yra pats vykdomasis failas.
3. Ištrinkite aplanką su virusu.
Paprastai jame yra šie failai:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taske.exe, u.wnry
4. Paleiskite įprastu režimu ir patikrinkite OS su gera antivirusine ir įdiekite Microsoft pataisą.
Ir dar vienas patarimas – užšifruoti failai su plėtiniu .wncry Geriau jo neištrinti. Yra tikimybė, kad antivirusinės laboratorijos specialistai galiausiai galės rasti iššifravimo raktą.