Acum putem spune cu încredere că atacul care a fost efectuat acum câteva zile de un nou virus viclean de criptare Vreau să plâng- cunoscut și sub denumirea de WannaCryptor sau WanaDecryptor - cel mai mare la momentul scrierii, nu numai dintre astfel de infecții, ci, în general, cel mai global din istorie. Internetul nu a fost niciodată zdruncinat așa. Sute de mii de computere de acasă și de birou din întreaga lume au fost infectate, dar Rusia a fost din nou afectată cel mai tare. În principal pentru că majoritatea sistemelor de operare Windows instalate nu sunt licențiate și nu toată lumea folosește protecția antivirus normală, sperând „poate”.

Caracteristici distinctive ale Wanna Cryptor

Principala diferență fundamentală dintre noul malware și soiurile similare anterioare este aceasta. Anterior, un virus de criptare putea începe să funcționeze pe un computer sau laptop numai după ce utilizatorul însuși lansa un fișier executabil primit prin poștă sau adus cu el. Ransomware-ul Wanna Cry funcționează bine fără acest lucru.

Folosind vulnerabilitatea serviciului de acces la fișiere de pe portul 445, intră în sistemul de operare și începe să cripteze totul: documente, arhive, imagini, fișiere video și audio etc. Puteți distinge un astfel de fișier după extensia sa .WNCRY.
Dacă PC-ul se află într-o rețea locală, virusul se răspândește la alte mașini din rețea, infectând pe toată lumea.
Este de remarcat faptul că, pe lângă toate, oprește și servicii precum mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange pentru a avea acces la bazele lor de date.
Este imposibil să recuperați datele după virusul ransomware Wanna Cryptor. Cel putin pentru moment. Poate că situația se va schimba mai târziu, dar în acest moment nu există mijloace de recuperare a datelor după un atac

Cum să te protejezi de ransomware

Pentru a vă proteja de un posibil atac de virus cripto, începeți prin a accesa Windows Update. Dacă există actualizări disponibile, asigurați-vă că le instalați.

Dacă dintr-un motiv oarecare nu puteți utiliza Centrul de actualizare, atunci puteți merge pe altă cale. Trebuie să accesați site-ul web de asistență tehnică Microsoft (link) și să descărcați de acolo patch-ul Microsoft lansat în grabă de dezvoltatori MS17-010 pentru versiunea dvs. a sistemului de operare Windows.

Al doilea pas, pentru a fi sigur, aș recomanda dezactivarea completă a suportului prin dezactivarea completă a suportului pentru protocolul vulnerabil SMB (Samba) versiunea 1. Acest lucru va fi valabil mai ales pentru utilizatorii casnici care au un computer sau laptop și chiar conectați fără un router. , direct la rețeaua furnizorului. Pentru a face acest lucru, lansați linia de comandă Windows cu drepturi de administrator și introduceți comanda:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Apăsați tasta „Enter” și priviți rezultatul.

Operația ar trebui să se termine cu succes.

Al treilea pas este să verificați setările firewall-ului. Este indicat ca porturile 135-139, 445 să fie închise. Cel puțin până trece epidemia de virus ransomware. Dacă utilizați un firewall standard Windows și nu este instalat nimic terță parte, atunci vă recomand să creați reguli adecvate în el. Pentru a face acest lucru, deschideți din nou linia de comandă cu drepturi de administrator și introduceți următoarele comenzi una câte una:

netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=5000 name=»Block_TCP-5000″

După fiecare comandă, apăsați Enter și uitați-vă la rezultat - ar trebui să fie „OK”. Dacă acest lucru este dificil pentru dvs., utilizați un utilitar simplu Ferestre Worms Doors Cleaner. Nu necesită cunoștințe suplimentare - trebuie doar să verificați toate elementele din Dezactivare.

Al patrulea pas - asigurați-vă că actualizați baza de date antivirus! Dacă nu îl aveți deloc instalat, atunci este timpul să îl instalați.

Tratarea ransomware-ului Wanna Cry

Din păcate, în stadiul terminal, când fișierele sunt deja criptate și apare fereastra WannaDecryptor 2.0 cu un avertisment, este prea târziu să „bei Borjomi”. Tratarea acestuia este inutilă, deoarece nu veți putea decripta fișierele deja criptate. Dar dacă infecția tocmai a pătruns în sistemul de operare, atunci există șansa de a salva cel puțin altceva. Primul semn cunoscut este apariția unei comenzi rapide WannaCry pe desktop. Un alt semn este încărcarea procesorului printr-un proces necunoscut. Ce să faci în acest caz?
1. Deconectați computerul de la Internet și reporniți în Windows.
2. Deschideți proprietățile comenzii rapide de decriptare și căutați unde se află fișierul executabil în sine.
3. Ștergeți folderul cu virusul.
De obicei, conține următoarele fișiere:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taskse.exe, u.wnry
4. Porniți în modul normal și verificați sistemul de operare cu un antivirus bun și instalați patch-ul Microsoft.
Și un alt sfat - fișiere criptate cu extensia .wncry Este mai bine să nu-l ștergi. Există șansa ca specialiștii din laboratorul antivirus să poată găsi în cele din urmă cheia de decriptare.