Artık birkaç gün önce yeni kurnaz bir şifreleme virüsü tarafından gerçekleştirilen saldırının gerçekleştiğini güvenle söyleyebiliriz. Ağlamak istiyor- aynı zamanda WannaCryptor veya WanaDecryptor olarak da bilinir - bu yazının yazıldığı sırada en büyüğü, yalnızca bu tür enfeksiyonlar arasında değil, aynı zamanda genel olarak tarihteki en küresel olanıdır. İnternet hiç bu kadar sarsılmamıştı. Dünya çapında yüzbinlerce ev ve ofis bilgisayarına virüs bulaştı ancak Rusya bir kez daha en ağır darbeyi aldı. Bunun temel nedeni, yüklü Windows işletim sistemlerinin çoğunun lisanslı olmaması ve "belki" umuduyla herkesin normal anti-virüs korumasını kullanmamasıdır.

Wanna Cryptor'un ayırt edici özellikleri

Yeni kötü amaçlı yazılımın önceki benzer türlerden temel farkı şudur. Önceden, bir şifreleme virüsü bir bilgisayarda veya dizüstü bilgisayarda ancak kullanıcının postayla aldığı veya yanında getirdiği yürütülebilir dosyayı kendisi başlattıktan sonra çalışmaya başlayabilirdi. Wanna Cry fidye yazılımı bu olmadan da gayet iyi çalışıyor.

445 numaralı bağlantı noktasındaki dosya erişim hizmetinin güvenlik açığını kullanarak işletim sistemine girer ve her şeyi şifrelemeye başlar: belgeler, arşivler, resimler, video ve ses dosyaları vb. Böyle bir dosyayı uzantısına göre ayırt edebilirsiniz .WNCRY.
PC yerel bir ağ üzerindeyse, virüs ağdaki diğer makinelere yayılarak herkese bulaşır.
Her şeye ek olarak, veritabanlarına erişim sağlamak için mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange gibi hizmetleri de durdurduğunu belirtmekte fayda var.
Wanna Cryptor fidye yazılımı virüsünden sonra verileri kurtarmak imkansızdır. En azından şimdilik. Belki daha sonra durum değişecektir ancak şu anda bir saldırı sonrasında veri kurtarmanın herhangi bir yolu yoktur.

Kendinizi fidye yazılımlarından nasıl korursunuz?

Kendinizi olası bir kripto virüsü saldırısından korumak için Windows Update'e giderek başlayın. Mevcut güncellemeler varsa, bunları yüklediğinizden emin olun.

Herhangi bir nedenle Güncelleme Merkezini kullanamıyorsanız başka bir yola gidebilirsiniz. Microsoft teknik destek web sitesine (bağlantı) gitmeniz ve geliştiriciler tarafından aceleyle yayımlanan Microsoft yamasını oradan indirmeniz gerekir. MS17-010 Windows işletim sistemi sürümünüz için.

İkinci adım olarak, elbette, savunmasız protokol SMB (Samba) sürüm 1'e yönelik desteği tamamen devre dışı bırakarak desteği tamamen devre dışı bırakmanızı tavsiye ederim. Bu, özellikle bir bilgisayarı veya dizüstü bilgisayarı olan ve hatta yönlendirici olmadan bağlanan ev kullanıcıları için geçerli olacaktır. doğrudan sağlayıcının ağına. Bunu yapmak için Windows komut satırını Yönetici haklarıyla başlatın ve şu komutu girin:

dism /çevrimiçi /norestart /devre dışı bırakma özelliği /özellikadı:SMB1Protokol

“Enter” tuşuna basın ve sonuca bakın.

İşlem başarıyla tamamlanmalı.

Üçüncü adım güvenlik duvarı ayarlarınızı kontrol etmektir. 135-139, 445 numaralı bağlantı noktalarının kapatılması önerilir. En azından fidye yazılımı virüsü salgını geçene kadar. Standart bir Windows güvenlik duvarı kullanıyorsanız ve üçüncü taraf hiçbir şey yüklü değilse, içinde uygun kurallar oluşturmanızı öneririm. Bunun için komut satırını Yönetici haklarıyla tekrar açın ve aşağıdaki komutları tek tek girin:

netsh advfirewall güvenlik duvarı kural ekle dir=in action=block protokolü=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall güvenlik duvarı kural ekle dir=in action=block protokolü=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall güvenlik duvarı kural ekle dir=in action=block protokolü=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall güvenlik duvarı kural ekle dir=in action=block protokolü=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall güvenlik duvarı kural ekle dir=in action=block protokolü=tcp localport=5000 name=»Block_TCP-5000″

Her komuttan sonra Enter tuşuna basın ve sonuca bakın - "Tamam" olmalıdır. Bu sizin için zorsa basit bir yardımcı program kullanın Windows Solucanları Kapı Temizleyici. Herhangi bir ek bilgi gerektirmez; Devre Dışı Bırak bölümündeki tüm öğeleri işaretlemeniz yeterlidir.

Dördüncü adım - antivirüs veritabanınızı güncellediğinizden emin olun! Eğer hiç yüklemediyseniz, yükleme zamanı gelmiştir.

Wanna Cry fidye yazılımının tedavisi

Ne yazık ki, terminal aşamasında, dosyalar zaten şifrelendiğinde ve WannaDecryptor 2.0 penceresi bir uyarıyla açıldığında, "Borjomi'yi içmek" için artık çok geç. Bunu tedavi etmek işe yaramaz çünkü zaten şifrelenmiş dosyaların şifresini çözemezsiniz. Ancak enfeksiyon işletim sistemine yeni girmişse, en azından başka bir şeyi kurtarma şansı vardır. Bilinen ilk işaret, masaüstünde bir WannaCry kısayolunun görünmesidir. Başka bir işaret, bilinmeyen bir süreçten kaynaklanan CPU yüküdür. Bu durumda ne yapmalı?
1. Bilgisayarın internet bağlantısını kesin ve Windows'u yeniden başlatın.
2. Şifre çözücü kısayolunun özelliklerini açın ve yürütülebilir dosyanın bulunduğu yere bakın.
3. Virüsün bulunduğu klasörü silin.
Genellikle aşağıdaki dosyaları içerir:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, Taskdl.exe, Taske.exe, u.wnry
4. Normal modda önyükleyin ve işletim sistemini iyi bir antivirüs ile kontrol edin ve Microsoft yamasını yükleyin.
Ve başka bir ipucu - uzantıya sahip şifrelenmiş dosyalar .wncry Silmemek daha iyi. Anti-virüs laboratuvarı uzmanlarının eninde sonunda şifre çözme anahtarını bulma şansı var.