Як повідомляється російськими ЗМІ, роботу відділень МВС у кількох регіонах Росії порушено через шифрувальника, який вразив безліч комп'ютерів і загрожує знищити всі дані. Крім того, атаку зазнали оператор зв'язку «Мегафон».

Йдеться про трояна-вимагача WCry (WannaCry або WannaCryptor). Він шифрує інформацію на комп'ютері і вимагає заплатити викуп у розмірі 300 або 600 доларів біткоін за розшифровку.

@[email protected], зашифровані файли, розширення WNCRY Потрібна утиліта та інструкція з дешифрування.

WannaCry зашифровує файли та документи з наступними розширеннями, додаючи.WCRY в кінці назви файлу:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Атака WannaCry по всьому світу

Атаки зафіксовано у понад 100 країнах. Росія, Україна та Індія мають найбільші проблеми. Повідомлення про зараження вірусом надходять із Великобританії, США, Китаю, Іспанії, Італії. Зазначається, що атака хакерів торкнулася лікарень та телекомунікаційних компаній по всьому світу. В Інтернеті доступна інтерактивна карта поширення загрози WannaCrypt.

Як відбувається зараження

Як розповідають користувачі, вірус потрапляє на їхні комп'ютери без будь-яких дій з їхнього боку та безконтрольно поширюється у мережах. На форумі "Лабораторії Касперського" зазначають, що навіть включений антивірус не гарантує безпеки.

Повідомляється, що атака шифрувальника WannaCry (Wana Decryptor) відбувається через уразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткіт, використовуючи який зловмисники запускали програму-шифрувальник. Всі рішення «Лабораторії Касперського» детектують цей руткіт як MEM: Trojan.Win64.EquationDrug.gen.

Імовірно, зараження відбулося кількома днями раніше, проте вірус проявив себе тільки після того, як зашифрував усі файли на комп'ютері.

Як видалити WanaDecryptor

Ви можете видалити загрозу за допомогою антивірусу, більшість антивірусних програм вже виявляють загрозу. Поширені визначення:

Avast Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Якщо ви вже запустили загрозу на комп'ютері і ваші файли були зашифровані, розшифровка файлів практично неможлива, тому що під час експлуатації вразливості запускається мережевий шифратор. Проте, вже є кілька варіантів інструментів дешифрування:

Примітка: Якщо ваші файли були зашифровані, а резервна копія відсутня, і існуючі інструменти дешифрування не допомогли, рекомендується зберегти зашифровані файли перед тим, як виконати очищення загрози на комп'ютері. Вони знадобляться, якщо в майбутньому буде створено інструмент дешифрування, що працює у вас.

Microsoft: інсталюйте оновлення Windows

Microsoft заявила, що користувачі з безкоштовним антивірусом компанії та включеною функцією оновлення системи Windows будуть захищені від атак WannaCryptor.

Оновлення від 14 березня закривають уразливість систем, якою поширюється троян-вимагач. Сьогодні було додано виявлення антивірусних баз Microsoft Security Essentials / Захисника Windows для захисту від нової шкідливої ​​програми відомої як Ransom:Win32.WannaCrypt.

• Переконайтеся, що антивірус увімкнено та інстальовано останні оновлення.
• Встановіть безкоштовний антивірус, якщо на комп'ютері немає жодного захисту.
• Встановіть останні оновлення системи у Windows Update:
  • Для Windows 7, 8.1у меню Пуск відкрийте Панель керування > Windows Update і натисніть "Пошук оновлень".
  • Для Windows 10перейдіть до меню Параметри > Оновлення та безпека та натисніть "Перевірити наявність оновлень".
• Якщо ви інсталюєте оновлення вручну, встановіть офіційний патч MS17-010 від Microsoft, який закриває вразливість сервера SMB, що використовується в атаці шифрувальника WanaDecryptor.
• Якщо у вашому антивірусі є захист від шифрувальників, увімкніть його. На нашому сайті також є окремий розділ Захист від шифрувальників, де ви можете завантажити безкоштовні інструменти.
• Виконайте антивірусне сканування системи.

Експерти зазначають, що найпростіший спосіб убезпечити себе від атаки – це закрити порт 445.

• Введіть sc stop lanmanserver та натисніть Enter
• Введіть Windows 10: sc config lanmanserver start=disabled для інших версій Windows: sc config lanmanserver start= disabled і натисніть Enter
• Перезавантажте комп'ютер
• У командному рядку введіть netstat -n-a | findstr "LISTENING" | findstr ":445" , щоб переконатися, що порт вимкнено. Якщо порожні рядки, порт не прослуховується.

При необхідності відкрити порт назад:

• Запустіть командний рядок (cmd.exe) від імені адміністратора
• Введіть Windows 10: sc config lanmanserver start=auto , для інших версій Windows: sc config lanmanserver start=auto та натисніть Enter
• Перезавантажте комп'ютер

Примітка: Порт 445 використовується Windows для спільної роботи з файлами. Закриття цього порту не заважає з'єднанню ПК з іншими віддаленими ресурсами, однак інші ПК не можуть підключитися до даної системи.