Kā ziņo Krievijas mediji, Iekšlietu ministrijas departamentu darbs vairākos Krievijas reģionos ir traucēts izspiedējvīrusa dēļ, kas inficējis daudzus datorus un draud iznīcināt visus datus. Turklāt uzbrukts sakaru operatoram Megafon.

Mēs runājam par WCry ransomware Trojas zirgu (WannaCry vai WannaCryptor). Viņš šifrē informāciju datorā un pieprasa 300 vai 600 dolāru izpirkuma maksu Bitcoin par atšifrēšanu.

@[aizsargāts ar e-pastu], šifrēti faili, paplašinājums WNCRY. Ir nepieciešamas utilīta un atšifrēšanas instrukcijas.

WannaCry šifrē failus un dokumentus ar šādiem paplašinājumiem, faila nosaukuma beigās pievienojot .WCRY:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry uzbrukums visā pasaulē

Uzbrukumi reģistrēti vairāk nekā 100 valstīs. Vislielākās problēmas piedzīvo Krievija, Ukraina un Indija. Ziņojumi par vīrusu infekciju tiek saņemti no Lielbritānijas, ASV, Ķīnas, Spānijas un Itālijas. Tiek atzīmēts, ka hakeru uzbrukums skāra slimnīcas un telekomunikāciju uzņēmumus visā pasaulē. Internetā ir pieejama interaktīva WannaCrypt draudu izplatības karte.

Kā notiek infekcija?

Kā saka lietotāji, vīruss nokļūst viņu datoros bez viņu puses un nekontrolējami izplatās pa tīkliem. Kaspersky Lab forumā viņi norāda, ka pat iespējots antivīruss negarantē drošību.

Tiek ziņots, ka WannaCry ransomware uzbrukums (Wana Decryptor) notiek, izmantojot Microsoft drošības biļetena MS17-010 ievainojamību. Pēc tam inficētajā sistēmā tika instalēts saknes komplekts, ar kuru uzbrucēji palaida šifrēšanas programmu. Visi Kaspersky Lab risinājumi nosaka šo sakņu komplektu kā MEM:Trojan.Win64.EquationDrug.gen.

Infekcija it kā notikusi dažas dienas agrāk, taču vīruss izpaudies tikai pēc tam, kad bija šifrējis visus datorā esošos failus.

Kā noņemt WanaDecryptor

Jūs varēsiet noņemt draudus, izmantojot pretvīrusu; lielākā daļa pretvīrusu programmu jau atklās draudus. Izplatītas definīcijas:

Avast Win32: WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Izpirkuma maksa: Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ja datorā jau esat palaidis draudus un jūsu faili ir šifrēti, failu atšifrēšana ir gandrīz neiespējama, jo, izmantojot ievainojamību, tiek palaists tīkla šifrētājs. Tomēr jau ir pieejamas vairākas atšifrēšanas rīku iespējas:

Piezīme: Ja jūsu faili tika šifrēti un nav rezerves kopijas, un esošie atšifrēšanas rīki nepalīdzēja, ieteicams saglabāt šifrētos failus pirms draudu noņemšanas no datora. Tie būs noderīgi, ja nākotnē tiks izveidots jums piemērots atšifrēšanas rīks.

Microsoft: instalējiet Windows atjauninājumus

Microsoft paziņoja, ka lietotāji, kuriem ir iespējots uzņēmuma bezmaksas antivīruss un Windows System Update, tiks aizsargāti pret WannaCryptor uzbrukumiem.

Atjauninājumi, kas datēti ar 14. martu, novērš sistēmas ievainojamību, caur kuru tiek izplatīts izspiedējvīrusa Trojas zirgs. Šodien Microsoft Security Essentials/Windows Defender pretvīrusu datubāzēm tika pievienota noteikšana, lai aizsargātu pret jaunu ļaunprātīgu programmatūru, kas pazīstama kā Ransom:Win32.WannaCrypt.

• Pārliecinieties, vai jūsu antivīruss ir ieslēgts un ir instalēti jaunākie atjauninājumi.
• Instalējiet bezmaksas antivīrusu, ja jūsu datoram nav aizsardzības.
• Instalējiet jaunākos sistēmas atjauninājumus, izmantojot Windows Update:
  • Priekš Windows 7, 8.1 Izvēlnē Sākt atveriet Vadības panelis > Windows atjaunināšana un noklikšķiniet uz Meklēt atjauninājumus.
  • Priekš Windows 10 Dodieties uz Iestatījumi> Atjaunināšana un drošība un noklikšķiniet uz "Pārbaudīt atjauninājumus".
• Ja atjauninājumus instalējat manuāli, instalējiet oficiālo Microsoft ielāpu MS17-010, kas novērš SMB servera ievainojamību, kas tiek izmantota WanaDecryptor izspiedējvīrusa uzbrukumā.
• Ja jūsu antivīrusam ir aizsardzība pret izspiedējvīrusu, ieslēdziet to. Mūsu vietnē ir arī atsevišķa sadaļa Ransomware Protection, kurā varat lejupielādēt bezmaksas rīkus.
• Veiciet sistēmas pretvīrusu skenēšanu.

Eksperti atzīmē, ka vienkāršākais veids, kā pasargāt sevi no uzbrukuma, ir aizvērt 445. portu.

• Ierakstiet sc stop lanmanserver un nospiediet taustiņu Enter
• Ievadiet operētājsistēmai Windows 10: sc config lanmanserver start=disabled , citām Windows versijām: sc config lanmanserver start= disabled un nospiediet Enter
• Restartējiet datoru
• Komandu uzvednē ievadiet netstat -n -a | findstr "KLAUSĪBA" | findstr ":445", lai pārliecinātos, ka ports ir atspējots. Ja ir tukšas rindas, ports neklausās.

Ja nepieciešams, atveriet atpakaļ portu:

• Palaidiet komandu uzvedni (cmd.exe) kā administratoru
• Ievadiet operētājsistēmai Windows 10: sc config lanmanserver start=auto , citām Windows versijām: sc config lanmanserver start=auto un nospiediet taustiņu Enter
• Restartējiet datoru

Piezīme: Windows failu koplietošanai izmanto portu 445. Šī porta aizvēršana neliedz datoram izveidot savienojumu ar citiem attāliem resursiem, taču citi datori nevarēs izveidot savienojumu ar sistēmu.