Foydalanuvchi ma'lumotlari o'rniga shifrlangan .wncry fayllarni qoldiradigan WannaCry yoki WanaDecryptor 2.0 yangi shifrlash virusi internetni larzaga keltirmoqda. Dunyo bo'ylab yuz minglab kompyuterlar va noutbuklar zarar ko'radi. Ular nafaqat ta'sir qilishdi muntazam foydalanuvchilar, lekin Sberbank, Rostelecom, Beeline, Megafon, Rossiya temir yo'llari va hatto Rossiya Ichki ishlar vazirligi kabi yirik kompaniyalarning tarmoqlari.

Ransomware virusining bunday keng tarqalishi Windows operatsion tizimlarida AQSh razvedka xizmatlari hujjatlarida maxfiylikdan mahrum qilingan yangi zaifliklardan foydalanish orqali ta'minlandi.

WanaDecryptor, Wanna Cry, WanaCrypt yoki Wana Decryptor - qaysi nom to'g'ri?

U boshlangan paytda virus hujumi global internetda yangi infektsiya nima deb nomlanganini hali hech kim bilmas edi. Avvaliga ular uni chaqirishdi Wana Decrypt0r ish stolida paydo bo'lgan xabar oynasining nomi bilan. Biroz vaqt o'tgach, shifrlovchining yangi modifikatsiyasi paydo bo'ldi - Wanna Decrypt0r 2.0. Ammo yana, bu to'lov dasturi oynasi bo'lib, u aslida foydalanuvchiga shifrlovchi kalitni sotadi, nazariy jihatdan u firibgarlarga kerakli miqdorni o'tkazgandan so'ng jabrlanuvchiga kelishi kerak. Virusning o'zi, ma'lum bo'lishicha, deyiladi Wanna Cry(Vanna cheti).
Siz hali ham Internetda uning turli nomlarini topishingiz mumkin. Bundan tashqari, foydalanuvchilar ko'pincha "o" harfi o'rniga "0" raqamini qo'yishadi va aksincha. Bo'shliqlar bilan turli xil manipulyatsiyalar ham katta chalkashliklarga olib keladi, masalan, WanaDecryptor va Wana Decryptor yoki WannaCry va Wanna Cry.

WanaDecryptor qanday ishlaydi

Ushbu to'lov dasturining ishlash printsipi biz duch kelgan oldingi to'lov dasturi viruslaridan tubdan farq qiladi. Ilgari, infektsiya kompyuterda ishlay boshlashi uchun avval uni ishga tushirish kerak edi. Ya'ni, uzun quloqli foydalanuvchi pochta orqali ayyor qo'shimchali xat oldi - qandaydir hujjat sifatida niqoblangan skript. Odam bajariladigan faylni ishga tushirdi va shu bilan OS infektsiyasini faollashtirdi. Bath Edge virusi boshqacha ishlaydi. Unga foydalanuvchini aldashga urinish shart emas, xizmatning muhim zaifligi uning uchun mavjud bo'lishi kifoya. ommaviy kirish 445 port yordamida SMBv1 fayllariga. Aytgancha, bu zaiflik wikileaks veb-saytida e'lon qilingan Amerika razvedka agentliklari arxividagi ma'lumotlar tufayli paydo bo'ldi.
Jabrlanuvchining kompyuterida WannaCrypt o'zining juda kuchli algoritmidan foydalanib, ommaviy ravishda fayllarni shifrlashni boshlaydi. Quyidagi formatlar asosan ta'sir qiladi:

kalit, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, xom, gif, png, bmp, jpg, jpeg, vcd, iso, zaxira, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Shifrlangan fayl kengaytmasi quyidagicha o'zgaradi .wncry. Ransomware virusi har bir jildga yana ikkita fayl qo'shishi mumkin. Birinchisi, Please_Read_Me.txt wncry faylining shifrini ochish yoʻriqnomasi, ikkinchisi esa WanaDecryptor.exe shifrini hal qiluvchi ilovadir.
Bu iflos hiyla hammaga tegmaguncha tinch va osoyishta ishlaydi. qattiq disk, shundan so'ng u sizga pul berishingizni so'rab WanaDecrypt0r 2.0 oynasini ko'rsatadi. Agar foydalanuvchi uni tugatishni tugatishga ruxsat bermagan bo'lsa va antivirus kriptor dasturini o'chirib tashlagan bo'lsa, ish stolida quyidagi xabar paydo bo'ladi:

Ya'ni, foydalanuvchi uning ba'zi fayllari allaqachon ta'sirlanganligi haqida ogohlantiriladi va agar siz ularni qaytarib olishni istasangiz, kriptorni qaytarib bering. Ha, hozir! Hech qanday holatda buni qilmang, aks holda siz qolganlarini yo'qotasiz. Diqqat! WNCRY fayllarini qanday shifrlashni hech kim bilmaydi. Xayr. Ehtimol, keyinroq qandaydir shifrni ochish vositasi paydo bo'ladi - biz kutamiz va ko'ramiz.

Wanna Cry virusidan himoya

Umuman olganda, Wanna Decryptor to'lov dasturidan himoya qilish uchun Microsoft MS17-010 yamog'i 12-may kuni chiqarilgan va agar Windows Update xizmati sizning shaxsiy kompyuteringizda normal ishlayotgan bo'lsa, u holda
Ehtimol, operatsion tizim allaqachon himoyalangan. Aks holda, siz o'zingiz uchun ushbu Microsoft yamog'ini yuklab olishingiz kerak bo'ladi Windows versiyalari va uni darhol o'rnating.
Keyin SMBv1 yordamini butunlay o'chirib qo'yish tavsiya etiladi. Hech bo'lmaganda epidemiya to'lqini pasayguncha va vaziyat tinchlanmaguncha. Buni buyruq satridan buyruqni kiritish orqali Administrator huquqlari bilan amalga oshirish mumkin:

dism /onlayn /norestart /disable-funksiya /featurename:SMB1Protocol

Shunga o'xshash:

Yoki panel orqali Windows boshqaruvi. U erda siz "Dasturlar va xususiyatlar" bo'limiga o'tishingiz kerak, menyudan "Yoqish yoki o'chirish" -ni tanlang. Windows komponentlari" Oyna paydo bo'ladi:

"SMB 1.0/CIFS fayl almashishni qo'llab-quvvatlash" bandini toping, belgini olib tashlang va "OK" tugmasini bosing.

Agar to'satdan SMBv1 qo'llab-quvvatlashini o'chirib qo'yish bilan bog'liq muammolar yuzaga kelsa, Wanacrypt0r 2.0 dan himoyalanish uchun siz boshqa yo'lni tanlashingiz mumkin. Tizimda ishlatiladigan xavfsizlik devorida 135 va 445 portlarni bloklaydigan qoida yarating. Standart uchun Windows xavfsizlik devori kiritilishi kerak buyruq qatori quyidagi:

netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=TCP localport=445 name=»Close_TCP-445″

Yana bir variant - maxsus bepul foydalanish Windows ilovasi Qurt eshiklarini tozalash vositasi:

Bu o'rnatishni talab qilmaydi va tizimdagi bo'shliqlarni osongina yopish imkonini beradi, bu orqali shifrlash virusi unga kirishi mumkin.

Va, albatta, virusga qarshi himoya haqida unuta olmaymiz. Faqat tasdiqlangan antivirus mahsulotlaridan foydalaning - DrWeb, Kaspersky Internet xavfsizligi, E-SET Nod32. Agar sizda allaqachon antivirus o'rnatilgan bo'lsa, uning ma'lumotlar bazasini yangilashni unutmang:

Nihoyat, men sizga bir oz maslahat beraman. Agar sizda yo'qotish juda istalmagan juda muhim ma'lumotlaringiz bo'lsa, ularni saqlang olinadigan qattiq disk va shkafga qo'ying. Hech bo'lmaganda epidemiyaning davomiyligi uchun. Bu ularning xavfsizligini qandaydir tarzda kafolatlashning yagona yo'li, chunki keyingi modifikatsiya qanday bo'lishini hech kim bilmaydi.

Ma'lumki, hozirda butun dunyo bo'ylab kompyuterlarga katta hujumlar sodir bo'lmoqda. Agar siz Windows-da ishlasangiz, siz xavf ostida qolasiz. Lekin vahima qo'ymang va kompyuteringizni qayta ishga tushirishga urinmang! Muhim ma'lumotlaringizni yaxshiroq saqlang tashqi haydovchi yoki hamma narsa ishlayotgan vaqtda bulutga. Va dam oling. Agar keyinchalik kompyuteringiz hali ham infektsiyalanganligi aniqlansa, siz shunchaki tizimni qayta o'rnatasiz va ma'lumotlarni zaxiradan tiklaysiz.

Ushbu postda men o'zingizni Wana Decrypt0r virusidan himoya qilish bo'yicha mutaxassislardan maslahatlar to'playman. Xabar yangilanadi.

Davolash bo'yicha tavsiyalar:

Xavfsizlik echimlarini yoqishingizga ishonch hosil qiling.
- Ushbu hujumda ishlatiladigan SMB server zaifligini hal qiluvchi Microsoft-dan rasmiy yamoqni (MS17-010) o'rnating.
- Kasperskiy laboratoriyasi mahsulotlarida tizim monitoringi komponenti yoqilganligiga ishonch hosil qiling.
- Butun tizimni tekshiring. MEM: Trojan.Win64.EquationDrug.gen kabi zararli hujumni aniqlasangiz, tizimingizni qayta yoqing. MS17-010 yamoqlari o'rnatilganligini ikki marta tekshiring.

Hujum Microsoft Security Bulletin MS17-010 mashhur tarmoq zaifligi orqali amalga oshirildi, shundan so'ng zararlangan tizimga skriptlar to'plami o'rnatildi, buning yordamida tajovuzkorlar to'lov dasturini ishga tushirdilar.

“Kasperskiy laboratoriyasining barcha yechimlari ushbu rootkitni MEM:Trojan.Win64.EquationDrug.gen sifatida aniqlaydi. Kasperskiy laboratoriyasi yechimlari, shuningdek, ushbu hujumda quyidagi hukmlar bilan foydalanilgan to'lov dasturini aniqlaydi: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (ushbu zararli dasturni aniqlash uchun tizim monitoringi komponenti yoqilgan bo‘lishi kerak),” deb ta’kidladi kompaniya vakili.

Uning so‘zlariga ko‘ra, infektsiya xavfini kamaytirish uchun kompaniyalarga Microsoft’dan maxsus yamoq o‘rnatish, barcha tarmoq tugunlarida xavfsizlik yechimlari yoqilganligiga ishonch hosil qilish, shuningdek, xavfsizlik yechimidagi muhim hududlarni skanerdan o‘tkazish tavsiya etiladi.

“MEM:Trojan.Win64.EquationDrug.gen aniqlangandan so'ng, tizimni qayta ishga tushirishingiz kerak; Kelajakda bunday hodisalarning oldini olish uchun eng xavfli maqsadli hujumlar va yuzaga kelishi mumkin bo'lgan infektsiyalar to'g'risidagi ma'lumotlarni zudlik bilan olish uchun tahdidlar haqida xabar berish xizmatlaridan foydalaning», - deya ta'kidladi Kasperskiy laboratoriyasi vakili.

Bugungi kunda bizning mutaxassislarimiz yangidan aniqlash va himoya qilishni qo'shdilar zararli dastur, Ransom:Win32.WannaCrypt nomi bilan tanilgan. Mart oyida biz ham tanishtirdik qo'shimcha himoya ushbu turdagi zararli dasturlarga qarshi, shuningdek, zararli dasturning tarmoq bo'ylab tarqalishini oldini oladigan xavfsizlik yangilanishi. Bizning foydalanuvchilarimiz bepul antivirus va Windowsning yangilangan versiyalari himoyalangan. Biz qo'shimcha yordam ko'rsatish uchun foydalanuvchilar bilan ishlamoqdamiz.

Bu shifrlash virusi. Bunday viruslar juda mashhur va bu xakerlar ularga birinchi marta murojaat qilishlari emas. Virus shifrlash kriptografiyasidan foydalanib, zararlangan kompyuterdagi fayllarni shifrlaydi. Har bir qurilmada u noyobdan foydalanadi Yashirin kalit, bu o'zini o'zi yaratadi. Boshqacha qilib aytadigan bo'lsak, agar siz uni bitta kompyuterda shifrlagan bo'lsangiz ham, uni boshqa kompyuterda qaytadan hal qilasiz.

Bu bilan qanday kurashish mumkin?

1. Qilish zaxira nusxalari. Agar sizda zaxira nusxangiz bo'lsa, u sizga tushgan bo'lsa ham, siz ushbu virusdan qo'rqmaysiz.
2. Doim yangiliklardan xabardor bo'ling axborot xavfsizligi. Xavfsizlik laboratoriyasi, Dark Reading va boshqalar kabi axborot bloglariga rioya qilish kerak.
3. Ushbu virus hozirda Internetda tasvirlangan maxsus zaifliklardan foydalanadi, bu zaifliklar mavjudligi uchun tarmoqlaringizni tekshirishingiz kerak. Siz tanimaydigan odamlarning faylini ochmang. Asosan, to'lov dasturidan kelgan xatlar buxgalteriya bo'limlarining xatlari yoki yo'l politsiyasining to'lanmagan jarimalari ostida yuboriladi.

Wanna virus Yig'la - yangi ko'rinish xaker hujumi, ransomware zararli dasturi butun dunyo bo'ylab shaxsiy kompyuterlar va Internet foydalanuvchilarini hayratda qoldirdi. Wanna Cry virusi qanday ishlaydi, undan o'zingizni himoya qilish mumkinmi va agar shunday bo'lsa, qanday qilib?

Wanna Cry virusi, tavsifi - toifaga kiruvchi zararli dastur turi RansomWare, to'lov dasturi. Jabrlanuvchining qattiq diskiga tushganda, Wanna Cry o'zining "hamkasblari" ssenariysi bo'yicha harakat qiladi, masalan TrojanRansom.Win32.zip, barcha ma'lum kengaytmalarning barcha shaxsiy ma'lumotlarini shifrlash. Faylni ko'rishga urinayotganda, foydalanuvchi ekranda n-chi pul miqdorini to'lash talabini ko'radi, go'yoki shundan so'ng tajovuzkor qulfni ochish uchun ko'rsatmalar yuboradi.

Ko'pincha pul undirish maxsus yaratilgan hisobni SMS orqali to'ldirish orqali amalga oshiriladi, ammo yaqinda buning uchun anonim to'lov xizmatidan foydalanilgan. BitCoin.

Wanna Cry virusi - bu qanday ishlaydi. Wanna Cry - bu WanaCrypt0r 2.0 deb nomlangan dastur bo'lib, u faqat Windows operatsion tizimida ishlaydigan shaxsiy kompyuterlarga hujum qiladi. Dastur tizimga kirish uchun tizimdagi "teshik" dan foydalanadi - Microsoft Security Bulletin MS17-010, uning mavjudligi ilgari noma'lum edi. Ayni paytda xakerlar MS17-010 zaifligini qanday aniqlagani ma'lum emas. Talabni saqlab qolish uchun antivirus dasturlari ishlab chiqaruvchilari tomonidan sabotaj qilish haqida versiya mavjud, ammo, albatta, hech kim xakerlarning o'z aql-idrokini yozmaydi.

Qanchalik achinarli bo'lmasin, Wanna Cry virusining tarqalishi eng oddiy yo'l bilan amalga oshiriladi - elektron pochta. Spam xatni ochganingizdan so'ng, shifrlovchi ishga tushadi va shifrlangan fayllarni tiklash deyarli mumkin emas.

Wanna Cry virusi - o'zingizni qanday himoya qilish kerak, davolash. WanaCrypt0r 2.0 tarmoqdagi zaifliklardan foydalanadi Windows xizmatlari. Ma'lumki, Microsoft allaqachon "yamoq" ni chiqargan - shunchaki ishga tushiring Windows yangilash ga yangilash oxirgi versiya. Aytish joizki, faqat litsenziya sotib olgan foydalanuvchilar o‘z kompyuterlari va ma’lumotlarini himoya qila oladi. Windows versiyasi- Pirat versiyani yangilamoqchi bo'lganingizda, tizim buni amalga oshirmaydi sinovdan o'tkaziladi. Shuni ham yodda tutish kerakki, Windows XP endi yangilanmaydi, chunki, albatta, ko'proq dastlabki versiyalari.

Siz bir necha oddiy qoidalarga amal qilib, o'zingizni Wanna Cry dan himoya qilishingiz mumkin:

tizimni o'z vaqtida yangilang - barcha zararlangan shaxsiy kompyuterlar yangilanmagan

litsenziyalangan operatsion tizimdan foydalaning

shubhali elektron pochta xabarlarini ochmang

OAV xabarlariga ko'ra, antivirus dasturlari ishlab chiqaruvchilari Wanna Cry bilan kurashish uchun yangilanishlarni chiqaradilar, shuning uchun antivirusingizni yangilashni to'xtatib qo'ymaslik kerak.