După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.

@[email protected], fișiere criptate, extensia WNCRY. Sunt necesare un utilitar și instrucțiuni de decriptare.

WannaCry criptează fișierele și documentele cu următoarele extensii adăugând .WCRY la sfârșitul numelui fișierului:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atacul WannaCry în întreaga lume

Atacurile au fost înregistrate în peste 100 de țări. Rusia, Ucraina și India se confruntă cu cele mai mari probleme. Rapoartele de infecție cu virus vin din Marea Britanie, SUA, China, Spania și Italia. Se observă că atacul hackerilor a afectat spitale și companii de telecomunicații din întreaga lume. O hartă interactivă a răspândirii amenințării WannaCrypt este disponibilă pe Internet.

Cum apare infecția?

După cum spun utilizatorii, virusul ajunge pe computerele lor fără nicio acțiune din partea lor și se răspândește necontrolat în rețele. Pe forumul Kaspersky Lab ei subliniază că nici măcar un antivirus activat nu garantează securitatea.

Este raportat că atacul ransomware WannaCry (Wana Decryptor) are loc prin vulnerabilitatea Microsoft Security Bulletin MS17-010. Apoi a fost instalat un rootkit pe sistemul infectat, cu ajutorul căruia atacatorii au lansat un program de criptare. Toate soluțiile Kaspersky Lab detectează acest rootkit ca MEM:Trojan.Win64.EquationDrug.gen.

Se presupune că infecția a avut loc cu câteva zile mai devreme, dar virusul s-a manifestat doar după ce a criptat toate fișierele de pe computer.

Cum să eliminați WanaDecryptor

Veți putea elimina amenințarea folosind un antivirus; majoritatea programelor antivirus vor detecta deja amenințarea. Definiții comune:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Răscumpărare:Win32/WannaCrypt, urs panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Dacă ați lansat deja amenințarea pe computer și fișierele dvs. au fost criptate, decriptarea fișierelor este aproape imposibilă, deoarece exploatarea vulnerabilității lansează un criptator de rețea. Cu toate acestea, sunt deja disponibile mai multe opțiuni pentru instrumentele de decriptare:

Notă: Dacă fișierele dvs. au fost criptate și nu există o copie de rezervă, iar instrumentele de decriptare existente nu au ajutat, atunci este recomandat să salvați fișierele criptate înainte de a curăța amenințarea de pe computer. Acestea vor fi utile dacă în viitor este creat un instrument de decriptare care funcționează pentru dvs.

Microsoft: Instalați actualizări Windows

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și Windows System Update activat vor fi protejați de atacurile WannaCryptor.

Actualizările din 14 martie remediază vulnerabilitatea sistemului prin care este distribuit troianul ransomware. Astăzi, detectarea a fost adăugată bazelor de date antivirus Microsoft Security Essentials/Windows Defender pentru a proteja împotriva unui nou malware cunoscut sub numele de Ransom:Win32.WannaCrypt.

• Asigurați-vă că antivirusul este pornit și că sunt instalate cele mai recente actualizări.
• Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
• Instalați cele mai recente actualizări de sistem utilizând Windows Update:
  • Pentru Windows 7, 8.1 Din meniul Start, deschideți Panou de control > Windows Update și faceți clic pe Căutare actualizări.
  • Pentru Windows 10 Accesați Setări > Actualizare și securitate și faceți clic pe „Căutați actualizări”.
• Dacă instalați manual actualizări, instalați patch-ul oficial Microsoft MS17-010, care abordează vulnerabilitatea serverului SMB utilizată în atacul ransomware WanaDecryptor.
• Dacă antivirusul tău are protecție împotriva ransomware, pornește-l. Avem și o secțiune separată pe site-ul nostru, Ransomware Protection, de unde puteți descărca instrumente gratuite.
• Efectuați o scanare antivirus a sistemului dvs.

Experții notează că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

• Tastați sc stop lanmanserver și apăsați Enter
• Introduceți pentru Windows 10: sc config lanmanserver start=disabled , pentru alte versiuni de Windows: sc config lanmanserver start= disabled și apăsați Enter
• Reporniți computerul
• La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr „:445” pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.

Dacă este necesar, deschideți portul înapoi:

• Rulați Command Prompt (cmd.exe) ca administrator
• Introduceți pentru Windows 10: sc config lanmanserver start=auto , pentru alte versiuni de Windows: sc config lanmanserver start= auto și apăsați Enter
• Reporniți computerul

Notă: Portul 445 este folosit de Windows pentru partajarea fișierelor. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la sistem.