Dacă computerul sau mai multe dispozitive din rețeaua de acasă sau de la serviciu au fost infectate cu virusul Wannacry, citiți articolul nostru.

Aici veți învăța cum să vă protejați și să preveniți infecția, precum și cum să decriptați corect datele criptate.

Importanța acestor cunoștințe este confirmată de informații despre peste 150 de mii de computere infectate în 2017, al căror sistem de operare a fost infectat cu cod WC rău intenționat.

Și, deși răspândirea globală a amenințării a fost oprită, este posibil ca următoarea versiune a ransomware-ului să devină și mai eficientă și merită să vă pregătiți în avans pentru apariția sa.

Continut:

Consecințe

Primele semne de infectare a computerului cu un virus ransomware au fost descoperite pe 12 mai 2017, când un program necunoscut a interferat cu munca a mii de utilizatori și a sute de organizații diferite din întreaga lume.

Codul rău intenționat a început să se răspândească la ora 8:00 și în prima zi a infectat peste 50 de mii de computere.

Cele mai multe infecții au avut loc în - deși primele date au venit din Marea Britanie, iar printre organizațiile afectate s-au numărat companii de telecomunicații spaniole și portugheze și chiar concern auto „Renault”.

În Rusia, el a atacat operatorii de telefonie mobilă "Megafon", "Linie dreaptă"Și "Iotă", Ministerul Situațiilor de Urgență, Ministerul Afacerilor Interne și Administrația Căilor Ferate.

Din această cauză, examenele permisului de conducere au fost anulate în unele regiuni ale țării, iar o serie de organizații și-au suspendat temporar activitatea.

Înregistrarea unui nume de domeniu scris în codul virusului, a făcut posibilă oprirea răspândirii acesteia. După aceasta, programul nu a mai putut accesa un anumit domeniu și nu a funcționat. Adevărat, doar până la lansarea unei noi versiuni, unde nu mai era prescris să contactați o anumită adresă.

Cerințe ale dezvoltatorilor de programe malware

Rezultatul infectării computerelor a fost blocarea majorității fișierelor de pe hard disk-urile lor.

Din cauza incapacității de a utiliza informațiile, utilizatorii chiar au tradus numele aplicației WannaCry ca "Vreau sa plang", dar nu „Vreau să criptez”(Wanna Cryptor) așa cum sa întâmplat cu adevărat.

Dar, având în vedere că fișierele necriptate erau susceptibile de a fi irecuperabile, opțiunea personalizată părea mai potrivită.

Windows a apărut pe desktopul computerului infectat cu solicitări de a plăti escrocii pentru a debloca informații.

La început, atacatorii au cerut doar 300 de dolari, după un timp suma a crescut la 500 de dolari – iar după plată nu exista nicio garanție că atacul nu se va mai repeta – deoarece computerul era încă infectat.

Dar dacă ați refuzat să plătiți, datele criptate s-au pierdut la 12 ore după apariția avertismentului.

Metode de răspândire a amenințării

Dezvoltatorii malware-ului au folosit o vulnerabilitate din acest sistem de operare pentru a infecta computerele cu Windows, care a fost închisă cu actualizarea MS17-010.

Victimele au fost în principal acei utilizatori care nu au instalat această remediere în martie 2017.

După instalarea actualizării (manual sau automat), accesul de la distanță la computer a fost închis.

În același timp, patch-ul din martie nu a protejat pe deplin sistemul de operare. Mai ales dacă utilizatorul îl deschide el însuși - așa se răspândește și virusul.

Și după infectarea unui computer, virusul a continuat să se răspândească în căutarea unor vulnerabilități - din acest motiv, cei mai vulnerabili nu erau utilizatorii individuali, ci companiile mari.

Prevenirea infecției

În ciuda pericolului grav ca un virus (și noile sale versiuni) să intre pe aproape orice computer, există mai multe modalități de a evita infectarea sistemului.

Pentru a face acest lucru, trebuie luate următoarele măsuri:

• Asigurați-vă că aveți instalate cele mai recente corecții de securitate și, dacă lipsesc, adăugați-le manual. După aceasta, cu siguranță ar trebui să activați actualizările automate - cel mai probabil, această opțiune a fost dezactivată;

• nu deschide e-mailuri cu atașamente de la utilizatori necunoscuti;
• nu faceți clic pe linkuri suspecte – mai ales dacă antivirusul dumneavoastră vă avertizează asupra pericolului acestora;
• instalați un program antivirus de înaltă calitate - de exemplu, sau, care are cel mai mare procent de detectare a Bath Edge. Majoritatea aplicațiilor mai puțin cunoscute și mai ales gratuite protejează mai puțin bine platforma;

• După infectare, deconectați imediat computerul de la Internet și, mai ales, de la rețeaua locală, protejând celelalte dispozitive de răspândirea ransomware-ului.

În plus, utilizatorul ar trebui să salveze periodic datele importante prin crearea unor copii de rezervă.

Dacă este posibil, merită să copiați informațiile pe unități flash USB, carduri de memorie sau nu (externe sau interne detașabile).

Dacă este posibil să recuperați informații, daunele cauzate de virus vor fi minime - dacă un computer este infectat, este suficient să formatați pur și simplu dispozitivul său de stocare.

Tratamentul unui PC infectat

Dacă computerul este deja infectat, utilizatorul ar trebui să încerce să-l vindece, scăpând de consecințele WannaCry.

La urma urmei, după ce un program de virus a intrat în sistem, extensiile acestuia se schimbă.

Când încearcă să lanseze aplicații sau să deschidă documente, utilizatorul eșuează, forțându-l să se gândească la rezolvarea problemei plătind cei 500 USD necesari.

De bază etapele rezolvării problemelor:

1 Pornirea serviciilor încorporate în sistemul de operare Windows.Șansa unui rezultat pozitiv în acest caz este mică, așa că, cel mai probabil, va trebui să utilizați alte opțiuni;

2 Reinstalarea sistemului.În acest caz, ar trebui să formatați totul - este posibil ca toate informațiile să se piardă;

3 Accesați decriptarea datelor– această opțiune este utilizată dacă există date importante pe disc.

4 Proces de recuperare a fișierelorîncepe cu descărcarea actualizărilor corespunzătoare și deconectarea de la Internet. După aceasta, utilizatorul trebuie să lanseze linia de comandă (prin "Start" si sectiunea "Standard" sau prin meniu "Alerga"și ) și blochează portul 445, blocând calea de intrare a virusului. Acest lucru se poate face prin introducerea comenzii netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=445 name=»Block_TCP-445.

5 Acum urmează alerga . Pentru a face acest lucru, țineți apăsată tasta în timp ce încărcați F8 pentru a accesa meniul de pornire al computerului și selectați elementul corespunzător. În acest mod, este deschis un folder cu cod rău intenționat, care este localizat folosind o comandă rapidă a virusului care apare pe desktop. După ștergerea tuturor fișierelor din director, trebuie să reporniți sistemul și să reporniți Internetul.

Decriptarea fișierelor

După ce WannaCry este oprit, utilizatorului i se cere să restaureze toate fișierele criptate.

Este de remarcat faptul că acum există mult mai mult timp pentru aceasta decât 12 ore - prin urmare, dacă nu puteți returna datele de unul singur, puteți contacta specialiști în câteva zile sau luni.

Cea mai bună opțiune– restaurarea datelor din copii de rezervă. Dacă utilizatorul nu a prevăzut posibilitatea infecției și nu a copiat date importante, ar trebui să descărcați un program de decriptare:

• Shadow Explorer, care se bazează pe restaurarea copiilor „shadow” ale fișierelor (în primul rând documente);

Orez. 6. Lansarea programului

Fig.9. Funcționarea programului Windows Data Recovery.

Orez. 10. Recuperați fișierele prin program cu 1 clic

• utilitare produse de Kaspersky Lab special pentru restaurarea informațiilor criptate.

Orez. 11. Lansați utilitarul

Fig. 12. Procesul de restaurare a datelor

Ar trebui sa stii: Programul ar trebui să fie lansat numai după ce virusul în sine a fost eliminat. Dacă nu puteți opri Vanna Edge, nu trebuie să utilizați decodorul.