Tulad ng iniulat ng Russian media, ang gawain ng mga departamento ng Ministry of Internal Affairs sa ilang rehiyon ng Russia ay naantala dahil sa isang ransomware na na-infect ang maraming computer at nagbabanta na sirain ang lahat ng data. Bilang karagdagan, ang operator ng komunikasyon na Megafon ay inatake.

Pinag-uusapan natin ang tungkol sa WCry ransomware Trojan (WannaCry o WannaCryptor). Ini-encrypt niya ang impormasyon sa computer at humihingi ng ransom na $300 o $600 sa Bitcoin para sa pag-decryption.

@[email protected], mga naka-encrypt na file, extension na WNCRY. Kinakailangan ang mga tagubilin sa utility at decryption.

Ini-encrypt ng WannaCry ang mga file at dokumento gamit ang mga sumusunod na extension sa pamamagitan ng pagdaragdag ng .WCRY sa dulo ng pangalan ng file:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Pag-atake ng WannaCry sa buong mundo

Ang mga pag-atake ay naitala sa higit sa 100 mga bansa. Ang Russia, Ukraine at India ay nakakaranas ng pinakamalaking problema. Ang mga ulat ng impeksyon sa virus ay nagmumula sa UK, USA, China, Spain, at Italy. Napansin na ang pag-atake ng hacker ay nakaapekto sa mga ospital at kumpanya ng telekomunikasyon sa buong mundo. Ang isang interactive na mapa ng pagkalat ng banta ng WannaCrypt ay makukuha sa Internet.

Paano nangyayari ang impeksiyon?

Tulad ng sinasabi ng mga gumagamit, ang virus ay nakukuha sa kanilang mga computer nang walang anumang aksyon sa kanilang bahagi at hindi makontrol na kumakalat sa mga network. Sa forum ng Kaspersky Lab, itinuturo nila na kahit na ang isang pinaganang antivirus ay hindi ginagarantiyahan ang seguridad.

Iniulat na ang WannaCry ransomware attack (Wana Decryptor) ay nangyayari sa pamamagitan ng Microsoft Security Bulletin MS17-010 na kahinaan. Pagkatapos ay isang rootkit ang na-install sa nahawaang sistema, kung saan ang mga umaatake ay naglunsad ng isang encryption program. Nakikita ng lahat ng solusyon ng Kaspersky Lab ang rootkit na ito bilang MEM:Trojan.Win64.EquationDrug.gen.

Ang impeksiyon ay dapat na naganap ilang araw bago nito, ngunit ang virus ay nagpakita lamang ng sarili pagkatapos nitong i-encrypt ang lahat ng mga file sa computer.

Paano tanggalin ang WanaDecryptor

Magagawa mong alisin ang pagbabanta gamit ang isang antivirus; karamihan sa mga antivirus program ay makikita na ang pagbabanta. Mga karaniwang kahulugan:

Avast Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Kung nailunsad mo na ang banta sa iyong computer at ang iyong mga file ay na-encrypt, ang pag-decryption ng mga file ay halos imposible, dahil ang pagsasamantala sa kahinaan ay naglulunsad ng isang network encryptor. Gayunpaman, available na ang ilang mga opsyon para sa mga tool sa pag-decryption:

Tandaan: Kung ang iyong mga file ay naka-encrypt at walang backup na kopya, at ang mga umiiral na tool sa pag-decryption ay hindi nakatulong, pagkatapos ay inirerekomenda na i-save ang mga naka-encrypt na file bago linisin ang banta mula sa iyong computer. Magiging kapaki-pakinabang ang mga ito kung ang isang tool sa pag-decryption na gumagana para sa iyo ay gagawin sa hinaharap.

Microsoft: I-install ang mga update sa Windows

Sinabi ng Microsoft na ang mga gumagamit na may libreng antivirus ng kumpanya at pinagana ang Windows System Update ay mapoprotektahan mula sa mga pag-atake ng WannaCryptor.

Inaayos ng mga update na may petsang Marso 14 ang kahinaan ng system kung saan ipinamamahagi ang ransomware Trojan. Idinagdag ngayon ang pagtuklas sa mga database ng antivirus ng Microsoft Security Essentials/Windows Defender upang maprotektahan laban sa isang bagong malware na kilala bilang Ransom:Win32.WannaCrypt.

• Tiyaking naka-on ang iyong antivirus at naka-install ang mga pinakabagong update.
• Mag-install ng libreng antivirus kung walang proteksyon ang iyong computer.
• I-install ang pinakabagong mga update sa system gamit ang Windows Update:
  • Para sa Windows 7, 8.1 Mula sa Start menu, buksan ang Control Panel > Windows Update at i-click ang Search for Updates.
  • Para sa Windows 10 Pumunta sa Mga Setting > Update at Seguridad at i-click ang "Tingnan para sa mga update"..
• Kung manu-mano kang mag-install ng mga update, i-install ang opisyal na Microsoft patch na MS17-010, na tumutugon sa kahinaan ng SMB server na ginamit sa pag-atake ng ransomware ng WanaDecryptor.
• Kung may proteksyon sa ransomware ang iyong antivirus, i-on ito. Mayroon din kaming hiwalay na seksyon sa aming website, Ransomware Protection, kung saan maaari kang mag-download ng mga libreng tool.
• Magsagawa ng anti-virus scan ng iyong system.

Napansin ng mga eksperto na ang pinakamadaling paraan upang maprotektahan ang iyong sarili mula sa isang pag-atake ay ang isara ang port 445.

• I-type ang sc stop lanmanserver at pindutin ang Enter
• Enter para sa Windows 10: sc config lanmanserver start=disabled , para sa ibang bersyon ng Windows: sc config lanmanserver start= disabled at pindutin ang Enter
• I-restart ang iyong computer
• Sa command prompt, ilagay ang netstat -n -a | findstr "PAKINIG" | findstr ":445" upang matiyak na ang port ay hindi pinagana. Kung may mga walang laman na linya, hindi nakikinig ang port.

Kung kinakailangan, buksan ang port pabalik:

• Patakbuhin ang Command Prompt (cmd.exe) bilang administrator
• Enter para sa Windows 10: sc config lanmanserver start=auto , para sa iba pang bersyon ng Windows: sc config lanmanserver start= auto at pindutin ang Enter
• I-restart ang iyong computer

Tandaan: Ang Port 445 ay ginagamit ng Windows para sa pagbabahagi ng file. Ang pagsasara ng port na ito ay hindi pumipigil sa PC mula sa pagkonekta sa iba pang malalayong mapagkukunan, ngunit ang ibang mga PC ay hindi makakonekta sa system.