ตามรายงานของสื่อรัสเซีย งานของแผนกต่างๆ ของกระทรวงกิจการภายในในหลายภูมิภาคของรัสเซียหยุดชะงักเนื่องจากแรนซัมแวร์ที่แพร่ระบาดในคอมพิวเตอร์หลายเครื่องและขู่ว่าจะทำลายข้อมูลทั้งหมด นอกจากนี้ Megafon ผู้ดำเนินการสื่อสารยังถูกโจมตีอีกด้วย

เรากำลังพูดถึงโทรจัน WCry ransomware (WannaCry หรือ WannaCryptor) เขาเข้ารหัสข้อมูลบนคอมพิวเตอร์และเรียกร้องค่าไถ่ 300 ดอลลาร์หรือ 600 ดอลลาร์ใน Bitcoin สำหรับการถอดรหัส

@[ป้องกันอีเมล], ไฟล์ที่เข้ารหัส, นามสกุล WNCRY จำเป็นต้องมีคำแนะนำด้านอรรถประโยชน์และการถอดรหัส

WannaCry เข้ารหัสไฟล์และเอกสารด้วยนามสกุลต่อไปนี้โดยเพิ่ม .WCRY ต่อท้ายชื่อไฟล์:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .สำรอง, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry โจมตีทั่วโลก

การโจมตีถูกบันทึกไว้ในกว่า 100 ประเทศ รัสเซีย ยูเครน และอินเดียกำลังประสบปัญหาใหญ่ที่สุด รายงานการติดเชื้อไวรัสมาจากสหราชอาณาจักร สหรัฐอเมริกา จีน สเปน และอิตาลี มีข้อสังเกตว่าการโจมตีของแฮ็กเกอร์ส่งผลกระทบต่อโรงพยาบาลและบริษัทโทรคมนาคมทั่วโลก แผนที่เชิงโต้ตอบของการแพร่กระจายของภัยคุกคาม WannaCrypt มีอยู่บนอินเทอร์เน็ต

การติดเชื้อเกิดขึ้นได้อย่างไร?

ตามที่ผู้ใช้กล่าวไว้ ไวรัสจะเข้าสู่คอมพิวเตอร์โดยไม่ต้องดำเนินการใดๆ และแพร่กระจายไปทั่วเครือข่ายอย่างควบคุมไม่ได้ ในฟอรัม Kaspersky Lab พวกเขาชี้ให้เห็นว่าแม้แต่โปรแกรมป้องกันไวรัสที่เปิดใช้งานก็ไม่รับประกันความปลอดภัย

มีรายงานว่าการโจมตีแรนซัมแวร์ WannaCry (Wana Decryptor) เกิดขึ้นผ่านช่องโหว่ Microsoft Security Bulletin MS17-010 จากนั้นมีการติดตั้งรูทคิทบนระบบที่ติดไวรัส ซึ่งผู้โจมตีใช้เปิดโปรแกรมเข้ารหัส โซลูชันของ Kaspersky Lab ทั้งหมดตรวจพบรูทคิทนี้เป็น MEM:Trojan.Win64.EquationDrug.gen

การติดเชื้อควรจะเกิดขึ้นไม่กี่วันก่อนหน้านี้ แต่ไวรัสจะแสดงออกมาหลังจากที่ได้เข้ารหัสไฟล์ทั้งหมดบนคอมพิวเตอร์เท่านั้น

วิธีการเอาออก WanaDecryptor.dll

คุณจะลบภัยคุกคามได้โดยใช้โปรแกรมป้องกันไวรัส เพราะโปรแกรมป้องกันไวรัสส่วนใหญ่จะตรวจพบภัยคุกคามแล้ว คำจำกัดความทั่วไป:

อวาสท์ Win32:WanaCry-A , เฉลี่ย Ransom_r.CFY, เอวิร่า TR/FileCoder.ibtft, BitDefenderโทรจัน.Ransom.WannaCryptor.A, ดร.เว็บโทรจัน.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, แคสเปอร์สกี้โทรจัน-Ransom.Win32.Wanna.d, มัลแวร์ไบต์ Ransom.WanaCrypt0r, ไมโครซอฟต์ค่าไถ่:Win32/WannaCrypt, แพนด้า Trj/RansomCrypt.F, ไซแมนเทค Trojan.Gen.2, Ransom.Wannacry

หากคุณได้เปิดภัยคุกคามบนคอมพิวเตอร์ของคุณแล้ว และไฟล์ของคุณได้รับการเข้ารหัสแล้ว การถอดรหัสไฟล์นั้นแทบจะเป็นไปไม่ได้เลย เนื่องจากการใช้ประโยชน์จากช่องโหว่ดังกล่าวจะเรียกใช้ตัวเข้ารหัสเครือข่าย อย่างไรก็ตาม มีหลายตัวเลือกสำหรับเครื่องมือถอดรหัสที่มีอยู่แล้ว:

บันทึก: หากไฟล์ของคุณถูกเข้ารหัสและไม่มีสำเนาสำรอง และเครื่องมือถอดรหัสที่มีอยู่ไม่ได้ช่วย ขอแนะนำให้บันทึกไฟล์ที่เข้ารหัสก่อนที่จะกำจัดภัยคุกคามจากคอมพิวเตอร์ของคุณ พวกเขาจะมีประโยชน์หากมีการสร้างเครื่องมือถอดรหัสที่เหมาะกับคุณในอนาคต

Microsoft: ติดตั้งการอัปเดต Windows

Microsoft กล่าวว่าผู้ใช้ที่เปิดใช้งานโปรแกรมป้องกันไวรัสฟรีของบริษัทและเปิดใช้งานการอัปเดตระบบ Windows จะได้รับการปกป้องจากการโจมตีของ WannaCryptor

การอัปเดตลงวันที่ 14 มีนาคมช่วยแก้ไขช่องโหว่ของระบบซึ่งมีการแพร่กระจายโทรจันแรนซัมแวร์ การตรวจจับในปัจจุบันถูกเพิ่มลงในฐานข้อมูลแอนติไวรัสของ Microsoft Security Essentials/Windows Defender เพื่อป้องกันมัลแวร์ตัวใหม่ที่เรียกว่า Ransom:Win32.WannaCrypt

• ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสของคุณเปิดอยู่และติดตั้งการอัปเดตล่าสุดแล้ว
• ติดตั้งโปรแกรมป้องกันไวรัสฟรี หากคอมพิวเตอร์ของคุณไม่มีการป้องกันใดๆ
• ติดตั้งการอัปเดตระบบล่าสุดโดยใช้ Windows Update:
  • สำหรับ วินโดว์ 7, 8.1จากเมนูเริ่ม ให้เปิดแผงควบคุม > Windows Update แล้วคลิกค้นหาการอัปเดต
  • สำหรับ วินโดวส์ 10ไปที่การตั้งค่า > การอัปเดตและความปลอดภัย แล้วคลิก "ตรวจสอบการอัปเดต"..
• หากคุณติดตั้งการอัปเดตด้วยตนเอง ให้ติดตั้งแพตช์อย่างเป็นทางการของ Microsoft MS17-010 ซึ่งจะแก้ไขช่องโหว่ของเซิร์ฟเวอร์ SMB ที่ใช้ในการโจมตีแรนซัมแวร์ WanaDecryptor
• หากโปรแกรมป้องกันไวรัสของคุณมีการป้องกันแรนซัมแวร์ ให้เปิดใช้งาน นอกจากนี้เรายังมีส่วนแยกต่างหากบนเว็บไซต์ Ransomware Protection ของเรา ซึ่งคุณสามารถดาวน์โหลดเครื่องมือฟรีได้
• ทำการสแกนป้องกันไวรัสของระบบของคุณ

ผู้เชี่ยวชาญทราบว่าวิธีที่ง่ายที่สุดในการป้องกันตัวเองจากการถูกโจมตีคือการปิดพอร์ต 445

• พิมพ์ sc หยุด lanmanserver แล้วกด Enter
• ป้อนสำหรับ Windows 10: sc config lanmanserver start=disabled สำหรับ Windows เวอร์ชันอื่น: sc config lanmanserver start= Disabled แล้วกด Enter
• รีสตาร์ทคอมพิวเตอร์ของคุณ
• ที่พรอมต์คำสั่ง ให้ป้อน netstat -n -a | findstr "กำลังฟัง" | findstr ":445" เพื่อให้แน่ใจว่าพอร์ตถูกปิดใช้งาน หากมีบรรทัดว่าง แสดงว่าพอร์ตไม่รับฟัง

หากจำเป็น ให้เปิดพอร์ตกลับ:

• เรียกใช้ Command Prompt (cmd.exe) ในฐานะผู้ดูแลระบบ
• ป้อนสำหรับ Windows 10: sc config lanmanserver start=auto สำหรับ Windows เวอร์ชันอื่น: sc config lanmanserver start= auto แล้วกด Enter
• รีสตาร์ทคอมพิวเตอร์ของคุณ

บันทึก: Windows ใช้พอร์ต 445 สำหรับการแชร์ไฟล์ การปิดพอร์ตนี้ไม่ได้ป้องกันพีซีจากการเชื่อมต่อกับทรัพยากรระยะไกลอื่น ๆ แต่พีซีเครื่องอื่นจะไม่สามารถเชื่อมต่อกับระบบได้