Teraz możemy śmiało powiedzieć, że atak przeprowadzony kilka dni temu przez nowego, przebiegłego wirusa szyfrującego Chcę płakać- znany również jako WannaCryptor lub WanaDecryptor - największy w chwili pisania tego tekstu, nie tylko wśród tego typu infekcji, ale ogólnie najbardziej globalny w historii. Internet nigdy nie był tak wstrząśnięty. Zainfekowane zostały setki tysięcy komputerów domowych i biurowych na całym świecie, ale Rosja po raz kolejny najbardziej ucierpiała. Głównie dlatego, że większość zainstalowanych systemów operacyjnych Windows nie jest licencjonowana i nie każdy korzysta z normalnej ochrony antywirusowej, mając nadzieję na „być może”.

Charakterystyczne cechy Wanna Cryptor

Główna zasadnicza różnica między nowym szkodliwym oprogramowaniem a poprzednimi podobnymi odmianami polega na tym. Wcześniej wirus szyfrujący mógł zacząć działać na komputerze lub laptopie dopiero po tym, jak użytkownik sam uruchomił plik wykonywalny otrzymany pocztą lub przyniesiony ze sobą. Ransomware Wanna Cry działa dobrze bez tego.

Wykorzystując lukę w usłudze dostępu do plików na porcie 445, dostaje się do systemu operacyjnego i zaczyna szyfrować wszystko: dokumenty, archiwa, obrazy, pliki wideo i audio itp. Taki plik można rozróżnić po jego rozszerzeniu .WNCRY.
Jeśli komputer znajduje się w sieci lokalnej, wirus rozprzestrzenia się na inne komputery w sieci, infekując wszystkich.
Warto dodać, że oprócz wszystkiego zatrzymuje także usługi takie jak mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange, aby mieć dostęp do ich baz danych.
Nie da się odzyskać danych po wirusie ransomware Wanna Cryptor. Przynajmniej na razie. Być może sytuacja zmieni się później, ale w tej chwili nie ma możliwości odzyskania danych po ataku

Jak chronić się przed oprogramowaniem ransomware

Aby uchronić się przed możliwym atakiem wirusa kryptograficznego, zacznij od przejścia do witryny Windows Update. Jeśli dostępne są aktualizacje, pamiętaj o ich zainstalowaniu.

Jeśli z jakiegoś powodu nie możesz skorzystać z Centrum aktualizacji, możesz skorzystać z innej metody. Należy udać się na stronę pomocy technicznej Microsoftu (link) i pobrać stamtąd naprędce wydaną przez twórców łatkę Microsoftu MS17-010 dla Twojej wersji systemu operacyjnego Windows.

W drugim kroku, dla pewności, zalecałbym całkowite wyłączenie wsparcia poprzez całkowite wyłączenie obsługi podatnego na ataki protokołu SMB (Samba) w wersji 1. Będzie to szczególnie prawdziwe w przypadku użytkowników domowych, którzy mają jeden komputer lub laptop, a nawet są podłączeni bez routera bezpośrednio do sieci dostawcy. W tym celu uruchom wiersz poleceń systemu Windows z uprawnieniami administratora i wpisz polecenie:

dism /online /norestart /wyłącz-funkcję /nazwafunkcji:Protokół SMB1

Naciśnij klawisz „Enter” i spójrz na wynik.

Operacja powinna zakończyć się pomyślnie.

Trzecim krokiem jest sprawdzenie ustawień zapory sieciowej. Wskazane jest, aby porty 135-139, 445 były zamknięte. Przynajmniej do czasu, gdy minie epidemia wirusa ransomware. Jeśli korzystasz ze standardowej zapory sieciowej Windows i nie jest instalowane nic obcego, to polecam stworzyć w niej odpowiednie reguły. Aby to zrobić, otwórz ponownie wiersz poleceń z uprawnieniami administratora i wprowadź kolejno następujące polecenia:

netsh advfirewall zapora dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=135 nazwa=»Blok_TCP-135″
netsh advfirewall zapora sieciowa dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=137 nazwa=»Blok_TCP-137″
netsh advfirewall zapora dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=138 nazwa=»Blok_TCP-138″
netsh advfirewall zapora dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=139 nazwa=»Blok_TCP-139″
netsh advfirewall zapora sieciowa dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=5000 nazwa=»Block_TCP-5000″

Po każdym poleceniu naciśnij Enter i spójrz na wynik - powinno być „OK”. Jeśli jest to dla Ciebie trudne, skorzystaj z prostego narzędzia Środek do czyszczenia drzwi robaków Windows. Nie wymaga żadnej dodatkowej wiedzy - wystarczy zaznaczyć wszystkie pozycje w opcji Wyłącz.

Krok czwarty – pamiętaj o aktualizacji swojej antywirusowej bazy danych! Jeśli w ogóle go nie masz, czas go zainstalować.

Leczenie oprogramowania ransomware Wanna Cry

Niestety, na etapie terminala, gdy pliki są już zaszyfrowane i pojawia się okno WannaDecryptor 2.0 z ostrzeżeniem, jest już za późno na „wypicie Borjomi”. Leczenie jest bezużyteczne, ponieważ nie będzie można odszyfrować już zaszyfrowanych plików. Ale jeśli infekcja właśnie przeniknęła do systemu operacyjnego, istnieje szansa na uratowanie przynajmniej czegoś innego. Pierwszą znaną oznaką jest pojawienie się na pulpicie skrótu WannaCry. Kolejnym objawem jest obciążenie procesora przez nieznany proces. Co zrobić w tym przypadku?
1. Odłącz komputer od Internetu i uruchom ponownie system Windows.
2. Otwórz właściwości skrótu deszyfrującego i sprawdź, gdzie znajduje się sam plik wykonywalny.
3. Usuń folder z wirusem.
Zwykle zawiera następujące pliki:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taskse.exe, u.wnry
4. Uruchom komputer w trybie normalnym, sprawdź system operacyjny za pomocą dobrego programu antywirusowego i zainstaluj łatkę Microsoft.
I kolejna wskazówka - zaszyfrowane pliki z rozszerzeniem .wncry Lepiej go nie usuwać. Istnieje szansa, że ​​specjalistom z laboratorium antywirusowego w końcu uda się znaleźć klucz deszyfrujący.