Ako informovali ruské médiá, práca oddelení ministerstva vnútra vo viacerých regiónoch Ruska bola narušená v dôsledku ransomvéru, ktorý infikoval mnoho počítačov a hrozí zničením všetkých údajov. Okrem toho bol napadnutý aj komunikačný operátor Megafon.

Hovoríme o WCry ransomware Trojan (WannaCry alebo WannaCryptor). Zašifruje informácie v počítači a za dešifrovanie požaduje výkupné 300 alebo 600 dolárov v bitcoinoch.

@[chránený e-mailom], šifrované súbory, prípona WNCRY. Vyžaduje sa nástroj a pokyny na dešifrovanie.

WannaCry šifruje súbory a dokumenty s nasledujúcimi príponami pridaním .WCRY na koniec názvu súboru:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Útok WannaCry po celom svete

Útoky boli zaznamenané vo viac ako 100 krajinách. Najväčšie problémy zažívajú Rusko, Ukrajina a India. Správy o vírusovej infekcii prichádzajú z Veľkej Británie, USA, Číny, Španielska a Talianska. Je potrebné poznamenať, že hackerský útok zasiahol nemocnice a telekomunikačné spoločnosti po celom svete. Interaktívna mapa šírenia hrozby WannaCrypt je dostupná na internete.

Ako dochádza k infekcii?

Ako hovoria užívatelia, vírus sa dostane do ich počítačov bez akéhokoľvek zásahu z ich strany a nekontrolovateľne sa šíri po sieťach. Na fóre Kaspersky Lab upozorňujú, že ani povolený antivírus nezaručuje bezpečnosť.

Uvádza sa, že k útoku ransomvéru WannaCry (Wana Decryptor) dochádza prostredníctvom zraniteľnosti Microsoft Security Bulletin MS17-010. Potom bol na infikovaný systém nainštalovaný rootkit, pomocou ktorého útočníci spustili šifrovací program. Všetky riešenia Kaspersky Lab detegujú tento rootkit ako MEM:Trojan.Win64.EquationDrug.gen.

K nákaze vraj došlo o niekoľko dní skôr, no vírus sa prejavil až po zašifrovaní všetkých súborov v počítači.

Ako odstrániť WanaDecryptor

Hrozbu budete môcť odstrániť pomocou antivírusu, väčšina antivírusových programov už hrozbu rozpozná. Bežné definície:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Výkupné:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ak ste už na svojom počítači spustili hrozbu a vaše súbory boli zašifrované, dešifrovanie súborov je takmer nemožné, pretože zneužitie zraniteľnosti spustí sieťový šifrovač. Existuje však už niekoľko možností pre dešifrovacie nástroje:

Poznámka: Ak boli vaše súbory zašifrované a neexistuje žiadna záložná kópia a existujúce dešifrovacie nástroje nepomohli, pred odstránením hrozby z počítača sa odporúča uložiť zašifrované súbory. Budú užitočné, ak sa v budúcnosti vytvorí dešifrovací nástroj, ktorý vám bude fungovať.

Microsoft: Nainštalujte aktualizácie systému Windows

Microsoft uviedol, že používatelia s bezplatným antivírusom spoločnosti a povolenou službou Windows System Update budú chránení pred útokmi WannaCryptor.

Aktualizácie zo 14. marca opravujú zraniteľnosť systému, prostredníctvom ktorej sa šíri ransomvérový trójsky kôň. Dnešná detekcia bola pridaná do antivírusových databáz Microsoft Security Essentials/Windows Defender na ochranu pred novým škodlivým softvérom známym ako Ransom:Win32.WannaCrypt.

• Skontrolujte, či je váš antivírus zapnutý a či sú nainštalované najnovšie aktualizácie.
• Ak váš počítač nemá žiadnu ochranu, nainštalujte si bezplatný antivírus.
• Nainštalujte najnovšie aktualizácie systému pomocou služby Windows Update:
  • Pre Windows 7, 8.1 V ponuke Štart otvorte Ovládací panel > Windows Update a kliknite na Vyhľadať aktualizácie.
  • Pre Windows 10 Prejdite do časti Nastavenia > Aktualizácia a zabezpečenie a kliknite na „Vyhľadať aktualizácie“.
• Ak inštalujete aktualizácie manuálne, nainštalujte si oficiálnu opravu Microsoft MS17-010, ktorá rieši zraniteľnosť servera SMB použitú pri útoku ransomvéru WanaDecryptor.
• Ak má váš antivírus ochranu proti ransomvéru, zapnite ju. Na našej webovej stránke máme aj samostatnú sekciu, Ransomware Protection, kde si môžete stiahnuť bezplatné nástroje.
• Vykonajte antivírusovú kontrolu vášho systému.

Odborníci poznamenávajú, že najjednoduchší spôsob, ako sa chrániť pred útokom, je zatvoriť port 445.

• Napíšte sc stop lanmanserver a stlačte Enter
• Zadajte pre Windows 10: sc config lanmanserver start=disabled , pre ostatné verzie systému Windows: sc config lanmanserver start= disabled a stlačte Enter
• Reštartujte počítač
• Do príkazového riadka zadajte netstat -n -a | findstr "POČÚVANIE" | findstr ":445", aby ste sa uistili, že port je zakázaný. Ak sú prázdne riadky, port nepočúva.

V prípade potreby otvorte port späť:

• Spustite príkazový riadok (cmd.exe) ako správca
• Zadajte pre Windows 10: sc config lanmanserver start=auto , pre ostatné verzie systému Windows: sc config lanmanserver start= auto a stlačte Enter
• Reštartujte počítač

Poznámka: Port 445 používa systém Windows na zdieľanie súborov. Zatvorenie tohto portu nebráni počítaču v pripojení k iným vzdialeným zdrojom, ale iné počítače sa nebudú môcť pripojiť k systému.