Svetainės skyriai
Redaktoriaus pasirinkimas:
- BIOS pypsi įjungiant kompiuterį
- Kaip ištrinti puslapį kontakte?
- Kaip ištrinti ištrintą „VKontakte“ puslapį?
- ENIAC – pirmasis kompiuteris pasaulyje
- „VKontakte“ buvo užblokuotas darbe, kaip aš galiu tai apeiti?
- Kaip ištrinti VKontakte puslapį iš telefono
- Kietojo disko formatavimo naudojant BIOS metodai
- Kaip prisijungti prie Odnoklassniki, jei svetainė užblokuota?
- Kaip visam laikui ištrinti kontaktinį puslapį?
- Kaip apeiti VK ir Odnoklassniki blokavimą Ukrainoje
Reklama
WannaCry virusas |
WannaCry yra speciali programa, kuri blokuoja visus sistemoje esančius duomenis ir palieka vartotojui tik du failus: nurodymus, ką daryti toliau, ir pačią Wanna Decryptor programą – duomenų atrakinimo įrankį. Dauguma kompiuterių saugos įmonių turi išpirkos iššifravimo įrankius, kurie gali apeiti programinę įrangą. Paprastiems mirtingiesiems „gydymo“ metodas vis dar nežinomas. WannaCry Decryptor ( arba WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), jau vadinamas „2017 metų virusu“. Ir visai ne be priežasties. Vos per pirmąsias 24 valandas nuo to momento, kai pradėjo plisti, ši išpirkos programa užkrėtė daugiau nei 45 000 kompiuterių. Kai kurie tyrinėtojai mano, kad šiuo metu (gegužės 15 d.) jau yra užkrėsti daugiau nei milijonas kompiuterių ir serverių. Primename, kad virusas pradėjo plisti gegužės 12 d. Pirmieji nukentėjo vartotojai iš Rusijos, Ukrainos, Indijos ir Taivano. Šiuo metu virusas dideliu greičiu plinta Europoje, JAV ir Kinijoje. Informacija buvo šifruojama vyriausybinių agentūrų (ypač Rusijos vidaus reikalų ministerijos), ligoninių, tarptautinių korporacijų, universitetų ir mokyklų kompiuteriuose ir serveriuose. Wana Decryptor (Wanna Cry arba Wana Decrypt0r) paralyžiavo šimtų įmonių ir vyriausybinių agentūrų darbą visame pasaulyje Iš esmės WinCry (WannaCry) yra EternalBlue šeimos išnaudojimas, kuris naudoja gana seną Windows operacinės sistemos pažeidžiamumą (Windows XP, Windows Vista, Windows 7, Windows 8 ir Windows 10) ir tyliai įkelia save į sistemą. Tada, naudodamas iššifravimui atsparius algoritmus, jis užšifruoja vartotojo duomenis (dokumentus, nuotraukas, vaizdo įrašus, skaičiuokles, duomenų bazes) ir reikalauja išpirkos už duomenų iššifravimą. Schema nėra nauja, nuolat rašome apie naujų tipų failų šifruoklius – tačiau platinimo būdas naujas. Ir tai sukėlė epidemiją. Kaip veikia virusasKenkėjiška programa nuskaito internetą, ar ieško kompiuterių su atviru TCP prievadu 445, kuris yra atsakingas už SMBv1 protokolo aptarnavimą. Aptikusi tokį kompiuterį, programa kelis kartus bando išnaudoti jame esantį EternalBlue pažeidžiamumą ir, jei pavyks, įdiegia DoublePulsar backdoor, per kurią atsisiunčiamas ir paleidžiamas WannaCry programos vykdomasis kodas. Su kiekvienu išnaudojimo bandymu kenkėjiška programa tikrina, ar tiksliniame kompiuteryje nėra „DoublePulsar“, ir, jei aptinkama, atsisiunčiama tiesiai per šias užpakalines duris.
Paleidus kenkėjišką programą, ji veikia kaip klasikinė išpirkos reikalaujanti programa: kiekvienam užkrėstam kompiuteriui ji sukuria unikalią asimetrinę RSA-2048 raktų porą. Tada „WannaCry“ pradeda nuskaityti sistemą, ieškodama tam tikrų tipų naudotojų failų, nepaliečiant tų, kurie yra svarbūs tolesniam jos veikimui. Kiekvienas pasirinktas failas yra šifruojamas naudojant AES-128-CBC algoritmą su kiekvieno iš jų unikaliu (atsitiktiniu) raktu, kuris savo ruožtu yra užšifruotas viešuoju užkrėstos sistemos RSA raktu ir yra saugomas užšifruoto failo antraštėje. Tokiu atveju plėtinys pridedamas prie kiekvieno užšifruoto failo .wncry. Užkrėstos sistemos RSA raktų pora užšifruojama viešuoju užpuolikų raktu ir siunčiama į jų valdymo serverius, esančius Tor tinkle, o po to visi raktai ištrinami iš užkrėsto įrenginio atminties. Užbaigus šifravimo procesą, programa parodo langą, kuriame prašoma per tris dienas pervesti tam tikrą Bitcoin kiekį (atitinka 300 USD) į nurodytą piniginę. Jei išpirka nebus gauta laiku, jos suma bus automatiškai padvigubinta. Septintą dieną, jei WannaCry nepašalinamas iš užkrėstos sistemos, užšifruoti failai sunaikinami. Pranešimas rodomas ta kalba, kuri yra įdiegta kompiuteryje. Iš viso programa palaiko 28 kalbas. Kartu su šifravimu programa nuskaito savavališkus interneto ir vietinio tinklo adresus, kad būtų užkrėsti nauji kompiuteriai. Remiantis „Symantec“ atliktais tyrimais, užpuolikų algoritmas, skirtas sekti atskirus mokėjimus kiekvienai aukai ir išsiųsti jai iššifravimo raktą, yra įgyvendintas su lenktynių sąlygų klaida. Dėl to išpirkos mokėjimai tampa beprasmiški, nes atskiri raktai jokiu būdu nebus siunčiami, o failai liks užšifruoti. Tačiau yra patikimas būdas iššifruoti mažesnius nei 200 MB vartotojo failus, taip pat yra galimybė atkurti didesnius failus. Be to, pasenusiose „Windows XP“ ir „Windows Server 2003“ sistemose dėl pseudoatsitiktinių skaičių skaičiavimo algoritmo įdiegimo ypatumų netgi įmanoma atkurti privačius RSA raktus ir iššifruoti visus paveiktus failus, jei kompiuteris to nepadarė. buvo paleistas iš naujo nuo užsikrėtimo momento. Vėliau grupė prancūzų kibernetinio saugumo ekspertų iš „Comae Technologies“ išplėtė šią funkciją į „Windows 7“ ir pritaikė ją praktikoje paskelbdama šią priemonę viešai. WanaKiwi, kuri leidžia iššifruoti failus be išpirkos. Ankstyvųjų programos versijų kode buvo savaiminio naikinimo mechanizmas, vadinamasis Kill Switch – programa patikrino dviejų konkrečių interneto domenų prieinamumą ir, jei jie buvo, buvo visiškai pašalinta iš kompiuterio. Pirmą kartą tai atrado Marcusas Hutchinsas 2017 m. gegužės 12 d. (Anglų) rusų 22 metų britų kompanijos Kryptos Logic virusų analitikas, „Twitter“ rašantis slapyvardžiu @MalwareTechBlog ir savo vardu užregistravęs vieną iš domenų. Taip jam pavyko laikinai iš dalies blokuoti šios kenkėjiškos programos modifikacijos plitimą. Gegužės 14 dieną buvo užregistruotas antrasis domenas. Vėlesnėse viruso versijose šis savaiminio išjungimo mechanizmas buvo pašalintas, tačiau tai buvo padaryta ne šaltinio programos kode, o redaguojant vykdomąjį failą, o tai rodo, kad šios pataisos kilmė buvo ne iš originalaus WannaCry autorių. , bet iš trečiųjų šalių užpuolikų. Dėl to buvo pažeistas šifravimo mechanizmas, o ši kirmino versija gali plisti tik pati surasdama pažeidžiamus kompiuterius, bet nesugeba jiems padaryti tiesioginės žalos. Didelis WannaCry, būdingas tik išpirkos reikalaujančioms programoms, plitimo tempas užtikrinamas naudojant 2017 m. vasario mėn. paskelbtą Microsoft Windows operacinės sistemos SMB tinklo protokolo pažeidžiamumą, aprašytą biuletenyje MS17-010. Jei klasikinėje schemoje išpirkos reikalaujančios programos pateko į kompiuterį dėl paties vartotojo veiksmų elektroniniu paštu ar žiniatinklio nuoroda, tada „WannaCry“ atveju vartotojo dalyvavimas yra visiškai pašalintas. Laikas nuo pažeidžiamo kompiuterio aptikimo iki visiško jo užkrėtimo yra maždaug 3 minutės. Kūrimo įmonė patvirtino pažeidžiamumą absoliučiai visuose vartotojų ir serverių produktuose, kuriuose įdiegtas SMBv1 protokolas – pradedant Windows XP/Windows Server 2003 ir baigiant Windows 10/Windows Server 2016. 2017 m. kovo 14 d. „Microsoft“ išleido seriją naujinimų, skirtų neutralizuoti visų palaikomų OS pažeidžiamumą. Po „WannaCry“ išplitimo bendrovė ėmėsi precedento neturinčio žingsnio, gegužės 13 d. išleisdama ir palaikymo pabaigos produktų („Windows XP“, „Windows Server 2003“ ir „Windows 8“) atnaujinimus. WannaCry viruso plitimasVirusas gali plisti įvairiais būdais:
Asmeniškai aš nelabai suprantu, kodėl antivirusinė programa nenuskaito tinklo ryšio. Tas pats užsikrėtimo būdas, kaip ir apsilankius svetainėje ar naršyklėje, įrodo kūrėjų bejėgiškumą ir tai, kad prašomos lėšos už licencijuotą programinę įrangą, skirtą kompiuteriui apsaugoti, niekaip nepateisinamos. Infekcijos simptomai ir viruso gydymasSėkmingai įdiegus vartotojo kompiuteryje, WannaCry bando plisti vietiniame tinkle į kitus kompiuterius kaip kirminas. Šifruoti failai gauna sistemos plėtinį .WCRY ir tampa visiškai neįskaitomi ir patiems jų iššifruoti neįmanoma. Po visiško šifravimo Wcry pakeičia darbalaukio foną ir palieka „instrukcijas“, kaip iššifruoti failus aplankuose su užšifruotais duomenimis. Iš pradžių įsilaužėliai išviliojo 300 USD už iššifravimo raktus, bet vėliau šį skaičių padidino iki 600 USD. Kaip apsaugoti kompiuterį nuo užkrėsto WannaCry Decryptor išpirkos programinės įrangos?Atsisiųskite operacinės sistemos naujinimą iš „Microsoft“ svetainės. Ką daryti Ar jūsų kompiuteris užkrėstas?Naudokite toliau pateiktas instrukcijas, kad pamėgintumėte atkurti bent dalį informacijos užkrėstame kompiuteryje. Atnaujinkite antivirusinę programą ir įdiekite operacinės sistemos pataisą. Šio viruso iššifruotojo gamtoje dar nėra. Griežtai nerekomenduojame užpuolikams mokėti išpirkos – nėra jokios, net menkiausios garantijos, kad gavę išpirką jie iššifruos Jūsų duomenis. Pašalinkite WannaCry išpirkos reikalaujančias programas naudodami automatinį valiklįItin efektyvus būdas dirbti su kenkėjiškomis programomis apskritai ir ypač išpirkos reikalaujančiomis programomis. Pasiteisinusio apsauginio komplekso naudojimas garantuoja nuodugnų bet kokių virusinių komponentų aptikimą ir visišką jų pašalinimą vienu paspaudimu. Atminkite, kad kalbame apie du skirtingus procesus: infekcijos pašalinimą ir failų atkūrimą kompiuteryje. Tačiau grėsmę tikrai reikia pašalinti, nes yra informacijos apie kitų ją naudojančių kompiuterių Trojos arklių įvedimą.
Atkurti prieigą prie užšifruotų failųKaip minėta, „no_more_ransom“ išpirkos programa užrakina failus naudodama stiprų šifravimo algoritmą, todėl užšifruotų duomenų negalima atkurti stebuklingos lazdelės banga – užtenka sumokėti negirdėtą išpirkos sumą. Tačiau kai kurie metodai tikrai gali būti išgelbėjimas, kuris padės atkurti svarbius duomenis. Žemiau galite su jais susipažinti. Automatinė failų atkūrimo programa (dešifratorius) Žinoma labai neįprasta aplinkybė. Ši infekcija ištrina originalius nešifruotus failus. Taigi šifravimo procesas turto prievartavimo tikslais yra skirtas jų kopijoms. Tai leidžia tokiai programinei įrangai kaip Data Recovery Pro atkurti ištrintus objektus, net jei garantuojamas jų pašalinimo patikimumas. Labai rekomenduojama pasinaudoti failų atkūrimo procedūra, jos veiksmingumas nekelia abejonių. Šešėlinės tomų kopijos Šis metodas pagrįstas „Windows“ failo atsarginės kopijos kūrimo procesu, kuris kartojamas kiekviename atkūrimo taške. Svarbi sąlyga, kad šis metodas veiktų: prieš užsikrėtimą turi būti įjungta „Sistemos atkūrimo“ funkcija. Tačiau visi failo pakeitimai, atlikti po atkūrimo taško, nebus rodomi atkurtoje failo versijoje. Atsarginė kopija Tai geriausias iš visų ne išpirkos būdų. Jei duomenų atsarginių kopijų kūrimo į išorinį serverį procedūra buvo naudojama prieš išpirkos programinės įrangos ataką jūsų kompiuteryje, norint atkurti užšifruotus failus tereikia įvesti atitinkamą sąsają, pasirinkti reikiamus failus ir paleisti duomenų atkūrimo mechanizmą iš atsarginės kopijos. Prieš atlikdami operaciją, turite įsitikinti, kad išpirkos reikalaujanti programa yra visiškai pašalinta. Patikrinkite, ar nėra galimų WannaCry išpirkos reikalaujančių programų komponentųValant rankiniu būdu kyla pavojus, kad trūks atskirų išpirkos reikalaujančių programų, kurios gali būti pašalintos kaip paslėpti operacinės sistemos objektai arba registro elementai. Kad pašalintumėte atskirų kenkėjiškų elementų dalinio išsaugojimo riziką, nuskaitykite kompiuterį naudodami patikimą saugos programinės įrangos paketą, kurio specializacija yra kenkėjiška programinė įranga. DekodavimasTačiau nėra informacijos iš tų, kurie mokėjo už iššifravimą, kaip ir apie įsilaužėlių ketinimą nuraminti žmonių sielas ir iššifruoti informaciją po apmokėjimo (((( Tačiau centre buvo informacijos apie mygtuko „Decrypt“ veikimo principą, taip pat tai, kad užpuolikai neturi galimybės identifikuoti vartotojų, kurie siuntė bitkoinus, o tai reiškia, kad aukoms niekas nieko neatkurs:
WannaCry viruso kūrėjai apėjo laikiną apsaugą beprasmės domeno pavidalu„WannaCry“ išpirkos reikalaujančio viruso, kuris paveikė kompiuterius daugiau nei 70 šalių, kūrėjai išleido naują jo versiją. Jame trūksta kodo, leidžiančio pasiekti beprasmį domeną, kuris buvo naudojamas siekiant užkirsti kelią pirminio viruso plitimui, rašo „Motherboard“. Leidinys gavo patvirtinimą apie naujos viruso versijos atsiradimą iš dviejų specialistų, tyrusių naujus kompiuterinės infekcijos atvejus. Vienas iš jų – „Kaspersky Lab“ tarptautinės tyrimų grupės vadovas Costinas Raiu. Ekspertai nepatikslino, ar „WannaCry“ atsirado kokių nors kitų pakeitimų. Gegužės 13 dieną viruso plitimą sustabdė Proofpoint specialistas Darienas Hassas ir MalwareTech tinklaraščio autorius – jie išsiaiškino, kad virusas pasiekia beprasmį domeno vardą ir užregistravo šį adresą. Po to jie išsiaiškino, kad WannaCry plitimas sustojo – tačiau ekspertai pažymėjo, kad viruso kūrėjai greičiausiai netrukus išleis atnaujintą programos versiją. |
Skaityti: |
---|
Populiarus:
Laikinas el. laiškas 10 minučių? |
Nauja
- Kaip ištrinti puslapį kontakte?
- Kaip ištrinti ištrintą „VKontakte“ puslapį?
- ENIAC – pirmasis kompiuteris pasaulyje
- „VKontakte“ buvo užblokuotas darbe, kaip aš galiu tai apeiti?
- Kaip ištrinti VKontakte puslapį iš telefono
- Kietojo disko formatavimo naudojant BIOS metodai
- Kaip prisijungti prie Odnoklassniki, jei svetainė užblokuota?
- Kaip visam laikui ištrinti kontaktinį puslapį?
- Kaip apeiti VK ir Odnoklassniki blokavimą Ukrainoje
- Formatavimas per BIOS