WannaCry yra speciali programa, kuri blokuoja visus sistemoje esančius duomenis ir palieka vartotojui tik du failus: nurodymus, ką daryti toliau, ir pačią Wanna Decryptor programą – duomenų atrakinimo įrankį.

Dauguma kompiuterių saugos įmonių turi išpirkos iššifravimo įrankius, kurie gali apeiti programinę įrangą. Paprastiems mirtingiesiems „gydymo“ metodas vis dar nežinomas.

WannaCry Decryptor ( arba WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), jau vadinamas „2017 metų virusu“. Ir visai ne be priežasties. Vos per pirmąsias 24 valandas nuo to momento, kai pradėjo plisti, ši išpirkos programa užkrėtė daugiau nei 45 000 kompiuterių. Kai kurie tyrinėtojai mano, kad šiuo metu (gegužės 15 d.) jau yra užkrėsti daugiau nei milijonas kompiuterių ir serverių. Primename, kad virusas pradėjo plisti gegužės 12 d. Pirmieji nukentėjo vartotojai iš Rusijos, Ukrainos, Indijos ir Taivano. Šiuo metu virusas dideliu greičiu plinta Europoje, JAV ir Kinijoje.

Informacija buvo šifruojama vyriausybinių agentūrų (ypač Rusijos vidaus reikalų ministerijos), ligoninių, tarptautinių korporacijų, universitetų ir mokyklų kompiuteriuose ir serveriuose.

Wana Decryptor (Wanna Cry arba Wana Decrypt0r) paralyžiavo šimtų įmonių ir vyriausybinių agentūrų darbą visame pasaulyje

Iš esmės WinCry (WannaCry) yra EternalBlue šeimos išnaudojimas, kuris naudoja gana seną Windows operacinės sistemos pažeidžiamumą (Windows XP, Windows Vista, Windows 7, Windows 8 ir Windows 10) ir tyliai įkelia save į sistemą. Tada, naudodamas iššifravimui atsparius algoritmus, jis užšifruoja vartotojo duomenis (dokumentus, nuotraukas, vaizdo įrašus, skaičiuokles, duomenų bazes) ir reikalauja išpirkos už duomenų iššifravimą. Schema nėra nauja, nuolat rašome apie naujų tipų failų šifruoklius – tačiau platinimo būdas naujas. Ir tai sukėlė epidemiją.

Kaip veikia virusas

Kenkėjiška programa nuskaito internetą, ar ieško kompiuterių su atviru TCP prievadu 445, kuris yra atsakingas už SMBv1 protokolo aptarnavimą. Aptikusi tokį kompiuterį, programa kelis kartus bando išnaudoti jame esantį EternalBlue pažeidžiamumą ir, jei pavyks, įdiegia DoublePulsar backdoor, per kurią atsisiunčiamas ir paleidžiamas WannaCry programos vykdomasis kodas. Su kiekvienu išnaudojimo bandymu kenkėjiška programa tikrina, ar tiksliniame kompiuteryje nėra „DoublePulsar“, ir, jei aptinkama, atsisiunčiama tiesiai per šias užpakalines duris.

Beje, šių kelių neseka šiuolaikinės antivirusinės programos, todėl infekcija taip išplito. O tai didžiulis akmenukas antivirusinės programinės įrangos kūrėjų sode. Kaip buvo galima leisti tai įvykti? Už ką imi pinigus?

Paleidus kenkėjišką programą, ji veikia kaip klasikinė išpirkos reikalaujanti programa: kiekvienam užkrėstam kompiuteriui ji sukuria unikalią asimetrinę RSA-2048 raktų porą. Tada „WannaCry“ pradeda nuskaityti sistemą, ieškodama tam tikrų tipų naudotojų failų, nepaliečiant tų, kurie yra svarbūs tolesniam jos veikimui. Kiekvienas pasirinktas failas yra šifruojamas naudojant AES-128-CBC algoritmą su kiekvieno iš jų unikaliu (atsitiktiniu) raktu, kuris savo ruožtu yra užšifruotas viešuoju užkrėstos sistemos RSA raktu ir yra saugomas užšifruoto failo antraštėje. Tokiu atveju plėtinys pridedamas prie kiekvieno užšifruoto failo .wncry. Užkrėstos sistemos RSA raktų pora užšifruojama viešuoju užpuolikų raktu ir siunčiama į jų valdymo serverius, esančius Tor tinkle, o po to visi raktai ištrinami iš užkrėsto įrenginio atminties. Užbaigus šifravimo procesą, programa parodo langą, kuriame prašoma per tris dienas pervesti tam tikrą Bitcoin kiekį (atitinka 300 USD) į nurodytą piniginę. Jei išpirka nebus gauta laiku, jos suma bus automatiškai padvigubinta. Septintą dieną, jei WannaCry nepašalinamas iš užkrėstos sistemos, užšifruoti failai sunaikinami. Pranešimas rodomas ta kalba, kuri yra įdiegta kompiuteryje. Iš viso programa palaiko 28 kalbas. Kartu su šifravimu programa nuskaito savavališkus interneto ir vietinio tinklo adresus, kad būtų užkrėsti nauji kompiuteriai.

Remiantis „Symantec“ atliktais tyrimais, užpuolikų algoritmas, skirtas sekti atskirus mokėjimus kiekvienai aukai ir išsiųsti jai iššifravimo raktą, yra įgyvendintas su lenktynių sąlygų klaida. Dėl to išpirkos mokėjimai tampa beprasmiški, nes atskiri raktai jokiu būdu nebus siunčiami, o failai liks užšifruoti. Tačiau yra patikimas būdas iššifruoti mažesnius nei 200 MB vartotojo failus, taip pat yra galimybė atkurti didesnius failus. Be to, pasenusiose „Windows XP“ ir „Windows Server 2003“ sistemose dėl pseudoatsitiktinių skaičių skaičiavimo algoritmo įdiegimo ypatumų netgi įmanoma atkurti privačius RSA raktus ir iššifruoti visus paveiktus failus, jei kompiuteris to nepadarė. buvo paleistas iš naujo nuo užsikrėtimo momento. Vėliau grupė prancūzų kibernetinio saugumo ekspertų iš „Comae Technologies“ išplėtė šią funkciją į „Windows 7“ ir pritaikė ją praktikoje paskelbdama šią priemonę viešai. WanaKiwi, kuri leidžia iššifruoti failus be išpirkos.

Ankstyvųjų programos versijų kode buvo savaiminio naikinimo mechanizmas, vadinamasis Kill Switch – programa patikrino dviejų konkrečių interneto domenų prieinamumą ir, jei jie buvo, buvo visiškai pašalinta iš kompiuterio. Pirmą kartą tai atrado Marcusas Hutchinsas 2017 m. gegužės 12 d. (Anglų) rusų 22 metų britų kompanijos Kryptos Logic virusų analitikas, „Twitter“ rašantis slapyvardžiu @MalwareTechBlog ir savo vardu užregistravęs vieną iš domenų. Taip jam pavyko laikinai iš dalies blokuoti šios kenkėjiškos programos modifikacijos plitimą. Gegužės 14 dieną buvo užregistruotas antrasis domenas. Vėlesnėse viruso versijose šis savaiminio išjungimo mechanizmas buvo pašalintas, tačiau tai buvo padaryta ne šaltinio programos kode, o redaguojant vykdomąjį failą, o tai rodo, kad šios pataisos kilmė buvo ne iš originalaus WannaCry autorių. , bet iš trečiųjų šalių užpuolikų. Dėl to buvo pažeistas šifravimo mechanizmas, o ši kirmino versija gali plisti tik pati surasdama pažeidžiamus kompiuterius, bet nesugeba jiems padaryti tiesioginės žalos.

Didelis WannaCry, būdingas tik išpirkos reikalaujančioms programoms, plitimo tempas užtikrinamas naudojant 2017 m. vasario mėn. paskelbtą Microsoft Windows operacinės sistemos SMB tinklo protokolo pažeidžiamumą, aprašytą biuletenyje MS17-010. Jei klasikinėje schemoje išpirkos reikalaujančios programos pateko į kompiuterį dėl paties vartotojo veiksmų elektroniniu paštu ar žiniatinklio nuoroda, tada „WannaCry“ atveju vartotojo dalyvavimas yra visiškai pašalintas. Laikas nuo pažeidžiamo kompiuterio aptikimo iki visiško jo užkrėtimo yra maždaug 3 minutės.

Kūrimo įmonė patvirtino pažeidžiamumą absoliučiai visuose vartotojų ir serverių produktuose, kuriuose įdiegtas SMBv1 protokolas – pradedant Windows XP/Windows Server 2003 ir baigiant Windows 10/Windows Server 2016. 2017 m. kovo 14 d. „Microsoft“ išleido seriją naujinimų, skirtų neutralizuoti visų palaikomų OS pažeidžiamumą. Po „WannaCry“ išplitimo bendrovė ėmėsi precedento neturinčio žingsnio, gegužės 13 d. išleisdama ir palaikymo pabaigos produktų („Windows XP“, „Windows Server 2003“ ir „Windows 8“) atnaujinimus.

WannaCry viruso plitimas

Virusas gali plisti įvairiais būdais:

• Per vieną kompiuterių tinklą;
• Paštu;
• Per naršyklę.

Asmeniškai aš nelabai suprantu, kodėl antivirusinė programa nenuskaito tinklo ryšio. Tas pats užsikrėtimo būdas, kaip ir apsilankius svetainėje ar naršyklėje, įrodo kūrėjų bejėgiškumą ir tai, kad prašomos lėšos už licencijuotą programinę įrangą, skirtą kompiuteriui apsaugoti, niekaip nepateisinamos.

Infekcijos simptomai ir viruso gydymas

Sėkmingai įdiegus vartotojo kompiuteryje, WannaCry bando plisti vietiniame tinkle į kitus kompiuterius kaip kirminas. Šifruoti failai gauna sistemos plėtinį .WCRY ir tampa visiškai neįskaitomi ir patiems jų iššifruoti neįmanoma. Po visiško šifravimo Wcry pakeičia darbalaukio foną ir palieka „instrukcijas“, kaip iššifruoti failus aplankuose su užšifruotais duomenimis.

Iš pradžių įsilaužėliai išviliojo 300 USD už iššifravimo raktus, bet vėliau šį skaičių padidino iki 600 USD.

Kaip apsaugoti kompiuterį nuo užkrėsto WannaCry Decryptor išpirkos programinės įrangos?

Atsisiųskite operacinės sistemos naujinimą iš „Microsoft“ svetainės.

Ką daryti Ar jūsų kompiuteris užkrėstas?

Naudokite toliau pateiktas instrukcijas, kad pamėgintumėte atkurti bent dalį informacijos užkrėstame kompiuteryje. Atnaujinkite antivirusinę programą ir įdiekite operacinės sistemos pataisą. Šio viruso iššifruotojo gamtoje dar nėra. Griežtai nerekomenduojame užpuolikams mokėti išpirkos – nėra jokios, net menkiausios garantijos, kad gavę išpirką jie iššifruos Jūsų duomenis.

Pašalinkite WannaCry išpirkos reikalaujančias programas naudodami automatinį valiklį

Itin efektyvus būdas dirbti su kenkėjiškomis programomis apskritai ir ypač išpirkos reikalaujančiomis programomis. Pasiteisinusio apsauginio komplekso naudojimas garantuoja nuodugnų bet kokių virusinių komponentų aptikimą ir visišką jų pašalinimą vienu paspaudimu. Atminkite, kad kalbame apie du skirtingus procesus: infekcijos pašalinimą ir failų atkūrimą kompiuteryje. Tačiau grėsmę tikrai reikia pašalinti, nes yra informacijos apie kitų ją naudojančių kompiuterių Trojos arklių įvedimą.

1. Atsisiųskite WannaCry virusų šalinimo programą. Paleidę programinę įrangą, spustelėkite mygtuką Paleiskite kompiuterio nuskaitymą(Pradėti nuskaitymą). Atsisiųskite ransomware pašalinimo programą WannaCry .
2. Įdiegta programinė įranga pateiks ataskaitą apie nuskaitymo metu aptiktas grėsmes. Norėdami pašalinti visas aptiktas grėsmes, pasirinkite parinktį Ištaisyti grėsmes(Pašalinkite grėsmes). Aptariama kenkėjiška programa bus visiškai pašalinta.

Atkurti prieigą prie užšifruotų failų

Kaip minėta, „no_more_ransom“ išpirkos programa užrakina failus naudodama stiprų šifravimo algoritmą, todėl užšifruotų duomenų negalima atkurti stebuklingos lazdelės banga – užtenka sumokėti negirdėtą išpirkos sumą. Tačiau kai kurie metodai tikrai gali būti išgelbėjimas, kuris padės atkurti svarbius duomenis. Žemiau galite su jais susipažinti.

Automatinė failų atkūrimo programa (dešifratorius)

Žinoma labai neįprasta aplinkybė. Ši infekcija ištrina originalius nešifruotus failus. Taigi šifravimo procesas turto prievartavimo tikslais yra skirtas jų kopijoms. Tai leidžia tokiai programinei įrangai kaip Data Recovery Pro atkurti ištrintus objektus, net jei garantuojamas jų pašalinimo patikimumas. Labai rekomenduojama pasinaudoti failų atkūrimo procedūra, jos veiksmingumas nekelia abejonių.

Šešėlinės tomų kopijos

Šis metodas pagrįstas „Windows“ failo atsarginės kopijos kūrimo procesu, kuris kartojamas kiekviename atkūrimo taške. Svarbi sąlyga, kad šis metodas veiktų: prieš užsikrėtimą turi būti įjungta „Sistemos atkūrimo“ funkcija. Tačiau visi failo pakeitimai, atlikti po atkūrimo taško, nebus rodomi atkurtoje failo versijoje.

Atsarginė kopija

Tai geriausias iš visų ne išpirkos būdų. Jei duomenų atsarginių kopijų kūrimo į išorinį serverį procedūra buvo naudojama prieš išpirkos programinės įrangos ataką jūsų kompiuteryje, norint atkurti užšifruotus failus tereikia įvesti atitinkamą sąsają, pasirinkti reikiamus failus ir paleisti duomenų atkūrimo mechanizmą iš atsarginės kopijos. Prieš atlikdami operaciją, turite įsitikinti, kad išpirkos reikalaujanti programa yra visiškai pašalinta.

Patikrinkite, ar nėra galimų WannaCry išpirkos reikalaujančių programų komponentų

Valant rankiniu būdu kyla pavojus, kad trūks atskirų išpirkos reikalaujančių programų, kurios gali būti pašalintos kaip paslėpti operacinės sistemos objektai arba registro elementai. Kad pašalintumėte atskirų kenkėjiškų elementų dalinio išsaugojimo riziką, nuskaitykite kompiuterį naudodami patikimą saugos programinės įrangos paketą, kurio specializacija yra kenkėjiška programinė įranga.

Dekodavimas

Tačiau nėra informacijos iš tų, kurie mokėjo už iššifravimą, kaip ir apie įsilaužėlių ketinimą nuraminti žmonių sielas ir iššifruoti informaciją po apmokėjimo ((((

Tačiau centre buvo informacijos apie mygtuko „Decrypt“ veikimo principą, taip pat tai, kad užpuolikai neturi galimybės identifikuoti vartotojų, kurie siuntė bitkoinus, o tai reiškia, kad aukoms niekas nieko neatkurs:

„Šifruotojas sukuria dviejų tipų failus: pirma, tam tikra dalis užšifruojama naudojant 128 bitų AES, o sugeneruotas iššifravimo raktas pridedamas tiesiai prie užšifruoto failo. Tokiu būdu užšifruotiems failams suteikiamas plėtinys .wncyr ir būtent jie iššifruojami, kai spustelite Iššifruoti. Didžioji dalis užšifruotų dalykų gauna plėtinį .wncry o rakto nebėra.
Tokiu atveju šifravimas nevyksta pačiame faile, o pirmiausia sukuriamas failas diske, kuriame patalpinamas šifruotas turinys, o tada ištrinamas originalus failas. Atitinkamai, kurį laiką yra galimybė atkurti dalį duomenų naudojant įvairias atkūrimo programas.
Siekdamas kovoti su tokiomis komunalinėmis paslaugomis, šifratorius nuolat įrašo į diską visokias šiukšles, todėl vieta diske išnaudojama gana greitai.
Tačiau kodėl vis dar nėra informacijos apie mokėjimą ir jo patikrinimo mechanizmus, tikrai stebina. Galbūt įtakos turi gana padori suma (300 USD), kurios reikia tokiam čekiui.

WannaCry viruso kūrėjai apėjo laikiną apsaugą beprasmės domeno pavidalu

„WannaCry“ išpirkos reikalaujančio viruso, kuris paveikė kompiuterius daugiau nei 70 šalių, kūrėjai išleido naują jo versiją. Jame trūksta kodo, leidžiančio pasiekti beprasmį domeną, kuris buvo naudojamas siekiant užkirsti kelią pirminio viruso plitimui, rašo „Motherboard“. Leidinys gavo patvirtinimą apie naujos viruso versijos atsiradimą iš dviejų specialistų, tyrusių naujus kompiuterinės infekcijos atvejus. Vienas iš jų – „Kaspersky Lab“ tarptautinės tyrimų grupės vadovas Costinas Raiu.

Ekspertai nepatikslino, ar „WannaCry“ atsirado kokių nors kitų pakeitimų.

​Gegužės 13 dieną viruso plitimą sustabdė Proofpoint specialistas Darienas Hassas ir MalwareTech tinklaraščio autorius – jie išsiaiškino, kad virusas pasiekia beprasmį domeno vardą ir užregistravo šį adresą. Po to jie išsiaiškino, kad WannaCry plitimas sustojo – tačiau ekspertai pažymėjo, kad viruso kūrėjai greičiausiai netrukus išleis atnaujintą programos versiją.