Jak donoszą rosyjskie media, praca departamentów Ministerstwa Spraw Wewnętrznych w kilku regionach Rosji została zakłócona z powodu oprogramowania ransomware, które zainfekowało wiele komputerów i grozi zniszczeniem wszystkich danych. Ponadto zaatakowany został operator komunikacyjny Megafon.

Mówimy o trojanie ransomware WCry (WannaCry lub WannaCryptor). Szyfruje informacje na komputerze i żąda okupu w wysokości 300 lub 600 dolarów w Bitcoinach za odszyfrowanie.

@[e-mail chroniony], zaszyfrowane pliki, rozszerzenie WNCRY. Wymagane jest narzędzie i instrukcje deszyfrowania.

WannaCry szyfruje pliki i dokumenty z następującymi rozszerzeniami, dodając końcówkę .WCRY na końcu nazwy pliku:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atak WannaCry na całym świecie

Ataki odnotowano w ponad 100 krajach. Największe problemy przeżywają Rosja, Ukraina i Indie. Doniesienia o zakażeniu wirusem napływają z Wielkiej Brytanii, USA, Chin, Hiszpanii i Włoch. Należy zauważyć, że atak hakerski dotknął szpitale i firmy telekomunikacyjne na całym świecie. W Internecie dostępna jest interaktywna mapa rozprzestrzeniania się zagrożenia WannaCrypt.

Jak dochodzi do infekcji?

Jak twierdzą użytkownicy, wirus przedostaje się na ich komputery bez żadnego działania z ich strony i rozprzestrzenia się w niekontrolowany sposób po sieciach. Na forum Kaspersky Lab zwracają uwagę, że nawet włączony program antywirusowy nie gwarantuje bezpieczeństwa.

Zgłoszono, że atak ransomware WannaCry (Wana Decryptor) następuje poprzez lukę w zabezpieczeniach Microsoft Security Bulletin MS17-010. Następnie na zainfekowanym systemie instalowano rootkita, za pomocą którego osoby atakujące uruchamiały program szyfrujący. Wszystkie rozwiązania firmy Kaspersky Lab wykrywają tego rootkita jako MEM:Trojan.Win64.EquationDrug.gen.

Infekcja rzekomo miała miejsce kilka dni wcześniej, jednak wirus ujawnił się dopiero po zaszyfrowaniu wszystkich plików na komputerze.

Jak usunąć WanaDecryptor

Zagrożenie będzie można usunąć za pomocą programu antywirusowego; większość programów antywirusowych już wykryje zagrożenie. Wspólne definicje:

Avasta Win32: WanaCry-A, ŚREDNIA Okup_r.CFY, Avira TR/FileCoder.ibtft, BitDefendera Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Okup.WanaCrypt0r, Microsoftu Okup:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symanteca Trojan.Gen.2, Ransom.Wannacry

Jeśli uruchomiłeś już zagrożenie na swoim komputerze, a Twoje pliki zostały zaszyfrowane, odszyfrowanie plików jest prawie niemożliwe, ponieważ wykorzystanie luki uruchamia program szyfrujący sieć. Jednak dostępnych jest już kilka opcji narzędzi deszyfrujących:

Notatka: Jeśli Twoje pliki zostały zaszyfrowane i nie ma kopii zapasowej, a istniejące narzędzia odszyfrowujące nie pomogły, zaleca się zapisanie zaszyfrowanych plików przed usunięciem zagrożenia z komputera. Przydadzą się, jeśli w przyszłości zostanie utworzone narzędzie do odszyfrowywania, które będzie dla Ciebie skuteczne.

Microsoft: Zainstaluj aktualizacje systemu Windows

Microsoft powiedział, że użytkownicy posiadający bezpłatny program antywirusowy firmy i włączoną aktualizację systemu Windows będą chronieni przed atakami WannaCryptor.

Aktualizacje z 14 marca naprawiają lukę w zabezpieczeniach systemu, poprzez którą rozprzestrzenia się trojan ransomware. Wykrycie zostało dzisiaj dodane do antywirusowych baz danych Microsoft Security Essentials/Windows Defender w celu ochrony przed nowym złośliwym oprogramowaniem znanym jako Ransom:Win32.WannaCrypt.

• Upewnij się, że Twój program antywirusowy jest włączony i zainstalowane są najnowsze aktualizacje.
• Zainstaluj darmowy program antywirusowy, jeśli Twój komputer nie ma żadnej ochrony.
• Zainstaluj najnowsze aktualizacje systemu za pomocą usługi Windows Update:
  • Dla Windows 7, 8.1 Z menu Start otwórz Panel sterowania > Windows Update i kliknij Wyszukaj aktualizacje.
  • Dla Windows 10 Przejdź do Ustawienia > Aktualizacja i zabezpieczenia i kliknij „Sprawdź dostępność aktualizacji”.
• Jeśli instalujesz aktualizacje ręcznie, zainstaluj oficjalną łatkę Microsoft MS17-010, która usuwa lukę w zabezpieczeniach serwera SMB wykorzystaną w ataku ransomware WanaDecryptor.
• Jeśli Twój program antywirusowy ma ochronę przed oprogramowaniem ransomware, włącz ją. Na naszej stronie internetowej znajduje się również osobna sekcja Ochrona przed oprogramowaniem ransomware, z której można pobrać bezpłatne narzędzia.
• Wykonaj skanowanie antywirusowe swojego systemu.

Eksperci zauważają, że najłatwiejszym sposobem zabezpieczenia się przed atakiem jest zamknięcie portu 445.

• Wpisz sc stop lanmanserver i naciśnij Enter
• W przypadku systemu Windows 10 wprowadź: sc config lanmanserver start=wyłączone, w przypadku innych wersji systemu Windows: sc config lanmanserver start=wyłączone i naciśnij klawisz Enter
• Zrestartuj swój komputer
• W wierszu poleceń wprowadź netstat -n -a | findstr "SŁUCHANIE" | findstr ":445", aby upewnić się, że port jest wyłączony. Jeśli są puste linie, port nie nasłuchuje.

Jeśli to konieczne, otwórz port z powrotem:

• Uruchom Wiersz Poleceń (cmd.exe) jako administrator
• Wpisz dla Windows 10: sc config lanmanserver start=auto , dla innych wersji Windows: sc config lanmanserver start= auto i naciśnij Enter
• Zrestartuj swój komputer

Notatka: Port 445 jest używany przez system Windows do udostępniania plików. Zamknięcie tego portu nie uniemożliwia komputera PC połączenia się z innymi zdalnymi zasobami, ale inne komputery nie będą mogły połączyć się z systemem.