Som rapporterats av ryska medier har arbetet inom inrikesministeriets avdelningar i flera regioner i Ryssland störts på grund av ett ransomware som har infekterat många datorer och hotar att förstöra all data. Dessutom attackerades kommunikationsoperatören Megafon.

Vi pratar om WCry ransomware Trojan (WannaCry eller WannaCryptor). Han krypterar informationen på datorn och kräver en lösensumma på $300 eller $600 i Bitcoin för dekryptering.

@[e-postskyddad], krypterade filer, tillägget WNCRY. Ett verktyg och dekrypteringsinstruktioner krävs.

WannaCry krypterar filer och dokument med följande tillägg genom att lägga till .WCRY i slutet av filnamnet:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry attackerar runt om i världen

Attacker registrerades i mer än 100 länder. Ryssland, Ukraina och Indien upplever de största problemen. Rapporter om virusinfektion kommer från Storbritannien, USA, Kina, Spanien och Italien. Det noteras att hackerattacken drabbade sjukhus och telekommunikationsföretag runt om i världen. En interaktiv karta över spridningen av WannaCrypt-hotet finns tillgänglig på Internet.

Hur uppstår infektion?

Som användare säger, viruset kommer in på deras datorer utan någon åtgärd från deras sida och sprider sig okontrollerat över nätverk. På Kaspersky Lab-forumet påpekar de att inte ens ett aktiverat antivirus garanterar säkerhet.

Det har rapporterats att WannaCry ransomware-attacken (Wana Decryptor) sker genom sårbarheten Microsoft Security Bulletin MS17-010. Sedan installerades ett rootkit på det infekterade systemet, med hjälp av vilket angriparna startade ett krypteringsprogram. Alla Kaspersky Lab-lösningar upptäcker detta rootkit som MEM:Trojan.Win64.EquationDrug.gen.

Infektionen ska ha inträffat några dagar tidigare, men viruset visade sig först efter att det hade krypterat alla filer på datorn.

Hur man tar bort WanaDecryptor

Du kommer att kunna ta bort hotet med ett antivirusprogram; de flesta antivirusprogram kommer redan att upptäcka hotet. Vanliga definitioner:

Avast Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Lösen:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Om du redan har lanserat hotet på din dator och dina filer har krypterats, är det nästan omöjligt att dekryptera filerna, eftersom utnyttjandet av sårbarheten startar en nätverkskryptering. Men flera alternativ för dekrypteringsverktyg är redan tillgängliga:

Notera: Om dina filer var krypterade och det inte finns någon säkerhetskopia, och befintliga dekrypteringsverktyg inte hjälpte, rekommenderas det att spara de krypterade filerna innan du rensar hotet från din dator. De kommer att vara användbara om ett dekrypteringsverktyg som fungerar för dig skapas i framtiden.

Microsoft: Installera Windows-uppdateringar

Microsoft sa att användare med företagets gratis antivirus och Windows System Update aktiverat kommer att skyddas från WannaCryptor-attacker.

Uppdateringar daterade den 14 mars fixar systemets sårbarhet genom vilken ransomware-trojanen distribueras. Idag lades detektering till Microsoft Security Essentials/Windows Defender antivirusdatabaser för att skydda mot en ny skadlig programvara känd som Ransom:Win32.WannaCrypt.

• Se till att ditt antivirus är aktiverat och att de senaste uppdateringarna är installerade.
• Installera ett gratis antivirusprogram om din dator inte har något skydd.
• Installera de senaste systemuppdateringarna med Windows Update:
  • För Windows 7, 8.1 Från Start-menyn, öppna Kontrollpanelen > Windows Update och klicka på Sök efter uppdateringar.
  • För Windows 10 Gå till Inställningar > Uppdatering och säkerhet och klicka på "Sök efter uppdateringar".
• Om du installerar uppdateringar manuellt, installera den officiella Microsoft-patchen MS17-010, som åtgärdar SMB-serverns sårbarhet som används i WanaDecryptor ransomware-attacken.
• Om ditt antivirus har ransomware-skydd, slå på det. Vi har även en separat sektion på vår hemsida, Ransomware Protection, där du kan ladda ner gratisverktyg.
• Utför en antivirusskanning av ditt system.

Experter noterar att det enklaste sättet att skydda dig från en attack är att stänga port 445.

• Skriv sc stop lanmanserver och tryck på Enter
• Enter för Windows 10: sc config lanmanserver start=disabled , för andra versioner av Windows: sc config lanmanserver start= disabled och tryck på Enter
• Starta om din dator
• Vid kommandotolken anger du netstat -n -a | findstr "LYSSNA" | findstr ":445" för att se till att porten är inaktiverad. Om det finns tomma linjer lyssnar inte porten.

Om det behövs, öppna porten tillbaka:

• Kör kommandotolken (cmd.exe) som administratör
• Ange för Windows 10: sc config lanmanserver start=auto , för andra versioner av Windows: sc config lanmanserver start= auto och tryck på Enter
• Starta om din dator

Notera: Port 445 används av Windows för fildelning. Att stänga denna port hindrar inte datorn från att ansluta till andra fjärrresurser, men andra datorer kommer inte att kunna ansluta till systemet.