WannaCry virusas yra išpirkos reikalaujanti programa, kuri naudoja „EternalBlue“ išnaudojimą, kad užkrėstų kompiuterius, kuriuose veikia „Microsoft Windows“ operacinė sistema. Išpirkos reikalaujanti programa taip pat žinoma kaip WannaCrypt0r, WannaCryptor, WCry ir Wana Decrypt0r. Kai jis pasiekia tikslinį kompiuterį, jis greitai užšifruoja visus failus ir pažymi juos vienu iš šių plėtinių: .wcry, .wncryt Ir .wncry.

Virusas paverčia duomenis nenaudingais naudodamas stiprų šifravimą, pakeičia darbalaukio foną, sukuria išpirkos užrašą „Please Read Me!.txt“ ir paleidžia programos langą pavadinimu „WannaDecrypt0r“, kuris praneša, kad kompiuteryje esantys failai buvo užšifruoti. Kenkėjiška programa ragina auką sumokėti 300–600 USD išpirką Bitcoin ir žada ištrinti visus failus, jei auka nesumokės pinigų per 7 dienas.

Kenkėjiška programa ištrina šešėlines kopijas, kad būtų išvengta užšifruotų duomenų atkūrimo. Be to, išpirkos reikalaujanti programa veikia kaip kirminas, nes patekusi į tikslinį kompiuterį pradeda ieškoti kitų kompiuterių, kad galėtų užkrėsti.

Nors virusas žada atkurti failus po apmokėjimo, nėra jokios priežasties pasitikėti nusikaltėliais. Svetainės komanda rekomenduoja pašalinti išpirkos reikalaujančias programas saugiuoju režimu, naudojant tinklo tvarkykles, naudojant apsaugos nuo kenkėjiškų programų programas, pvz., .

Kibernetiniai nusikaltėliai panaudojo šią išpirkos reikalaujančią programinę įrangą per didžiulę kibernetinę ataką, kuri buvo pradėta 2017 m. gegužės 12 d., penktadienį. Remiantis naujausiais pranešimais, kenkėjiška ataka sėkmingai paveikė daugiau nei 230 000 kompiuterių daugiau nei 150 šalių.

Kibernetinės atakos poveikis yra baisus, nes virusas taikosi į įvairių sektorių organizacijas, o atrodo, kad labiausiai nukentėjo sveikatos priežiūra. Dėl išpuolio buvo sustabdytos įvairios ligoninės paslaugos, atšaukta šimtai operacijų. Remiantis pranešimais, pirmosios didelės bendrovės, kurias išpirko, buvo Telefonica, Gas Natural ir Iberdrola.

Kai kurios nukentėjusios įmonės turėjo duomenų atsargines kopijas, o kitos susidūrė su tragiškomis pasekmėmis. Be išimties visoms aukoms patariama kuo greičiau pašalinti WannaCry, nes tai gali padėti užkirsti kelią tolesniam išpirkos reikalaujančios programos plitimui.

WannaCry plinta naudojant EternalBlue exploit

Pagrindinis „WannaCry“ išpirkos reikalaujančios programinės įrangos užkrėtimo vektorius yra „EternalBlue“ išnaudojimas, kuris yra kibernetinė šnipinėjimo programa, pavogta iš JAV Nacionalinio saugumo agentūros (NSA) ir kurią internete paskelbė įsilaužėlių grupė, žinoma kaip „Shadow Brokers“.

EternalBlue ataka nukreipta į Windows CVE-2017-0145 pažeidžiamumą Microsoft SMB (serverio pranešimų bloko) protokole. Pagal Microsoft saugos biuletenį MS17-010 (išleistas 2017 m. gegužės 14 d.), pažeidžiamumas dabar pataisytas. Vykdytojų naudotas išnaudojimo kodas buvo skirtas užkrėsti senas Windows 7 ir Windows Server 2008 sistemas, tačiau pranešama, kad Windows 10 naudotojai viruso nepaveikti.

Kenkėjiška programa dažniausiai būna Trojos arklys, kuriame yra išnaudojimų rinkinys ir pati išpirkos reikalaujanti programa. Tada lašintuvas bando prisijungti prie vieno iš nuotolinių serverių, kad atsisiųstų išpirkos reikalaujančią programinę įrangą į kompiuterį. Naujausios WannaCry versijos platinamos per girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 APAC regione. Išpirkos reikalaujančios programos gali paveikti visus, kurie neturi žinių apie išpirkos reikalaujančių programų platinimą, todėl rekomenduojame perskaityti šį mūsų ekspertų parengtą vadovą, kaip apsisaugoti nuo WannaCry ransomware:

1. Įdiekite sistemos saugos naujinimą MS17-010, neseniai išleistą Microsoft, kuris ištaisys pažeidžiamumą, kurį išnaudojo išpirkos reikalaujančios programos. Atnaujinimai buvo išleisti tik senesnėms operacinėms sistemoms, tokioms kaip „Windows XP“ arba „Windows 2003“.
2. Sekite kitų kompiuterių programų naujinius.
3. Įdiekite patikimą antivirusinę priemonę, kad apsaugotumėte kompiuterį nuo neteisėtų bandymų užkrėsti sistemą kenkėjiška programa.
4. Niekada neatidarykite el. laiškų, gautų iš nepažįstamų žmonių ar įmonių, su kuriomis nedarote verslo.
5. Išjunkite SMBv1 naudodami „Microsoft“ pateiktas instrukcijas.

Tyrėjas rodo ekrano kopijas, darytas WannaCry atakos metu. Užkrėtę sistemą ir užšifravę visus joje esančius failus, galite matyti Wanna Decrypt0r langą ir WannaCry nustatytą vaizdą kaip darbalaukio foną.
1 būdas. (saugusis režimas)
Pasirinkite „Saugusis režimas su tinklu“ 1 būdas. (saugusis režimas)
Pasirinkite „Įgalinti saugųjį režimą naudojant tinklą“

Pasirinkite „Saugusis režimas su komandų eilute“ 2 būdas. (sistemos atkūrimas)
Pasirinkite „Įgalinti saugųjį režimą su komandų eilute“
2 būdas. (sistemos atkūrimas)
Įveskite "cd restore" be kabučių ir paspauskite "Enter"
2 būdas. (sistemos atkūrimas)
Įveskite „rstrui.exe“ be kabučių ir paspauskite „Enter“
2 būdas. (sistemos atkūrimas)
Atsidariusiame lange „Sistemos atkūrimas“ pasirinkite „Kitas“.
2 būdas. (sistemos atkūrimas)
Pasirinkite atkūrimo tašką ir spustelėkite „Kitas“
2 būdas. (sistemos atkūrimas)
Spustelėkite „Taip“ ir pradėkite sistemos atkūrimą ⇦ ⇨

Skaidrė 1 iš 10

WannaCry versijos

Virusas naudoja AES-128 kriptografinį šifrą, kad saugiai užrakintų failus, prie jų pavadinimų prideda failo plėtinį .wcry ir prašo pervesti 0,1 Bitcoin į pateiktą virtualią piniginę. Iš pradžių kenkėjiška programa buvo platinama per el. pašto šiukšles; Tačiau šis konkretus virusas nedavė daug pajamų jo kūrėjams. Nepaisant to, kad šios išpirkos programos užšifruoti failai pasirodė esantys neatkuriami be iššifravimo rakto, kūrėjai nusprendė atnaujinti kenkėjišką programą.

WannaCrypt0r ransomware virusas. Tai dar vienas atnaujintos išpirkos reikalaujančios programos versijos pavadinimas. Naujoji versija nukreipta į „Windows“ pažeidžiamumą kaip pagrindinį atakos vektorių ir per kelias sekundes užšifruoja visus sistemoje saugomus failus. Užkrėstus failus galima atpažinti naudojant plėtinius, pridedamus prie failo pavadinimo iškart po pradinio failo pavadinimo – .wncry, wncryt arba .wcry.

Jokiu būdu negalima atkurti sugadintų duomenų be atsarginių kopijų arba privataus rakto, sukurto duomenų šifravimo proceso metu. Virusas paprastai reikalauja 300 USD, nors jis padidina išpirkos kainą iki 600 USD, jei auka nesumoka pinigų per tris dienas.

Ransomware virusas WannaDecrypt0r. WannaDecrypt0r yra programa, kurią virusas paleidžia sėkmingai įsiskverbęs į tikslinę sistemą. Tyrėjai jau pastebėjo, kad Wanna Decryptor 1.0 ir Wanna Decryptor 2.0 versijos artėja prie aukų.

Kenkėjiška programa rodo atgalinės atskaitos laikrodį, rodantį, kiek liko sumokėti išpirką, kol jos kaina pasiekia maksimumą, taip pat identišką atgalinės atskaitos laikrodį, rodantį, kiek liko laiko, kol virusas ištrins visus duomenis iš kompiuterio. Ši versija sukrėtė virtualią bendruomenę 2017 m. gegužės 12 d., nors po kelių dienų ją sustabdė saugumo tyrinėtojas, pasivadinęs MalwareTech.