Endi ishonch bilan aytishimiz mumkinki, hujum bir necha kun oldin yangi ayyor shifrlash virusi tomonidan amalga oshirilgan. Wanna Cry- WannaCryptor yoki WanaDecryptor nomi bilan ham tanilgan - yozish paytidagi eng kattasi, nafaqat bunday infektsiyalar orasida, balki tarixdagi eng global hisoblanadi. Internet hech qachon bunchalik silkinmagan. Butun dunyo bo'ylab yuz minglab uy va ofis kompyuterlari yuqtirildi, ammo Rossiya yana eng ko'p zarar ko'rdi. Asosan, ko'pchilik o'rnatilgan Windows operatsion tizimlari litsenziyalanmaganligi va hamma ham "balki" deb umid qilib, oddiy antivirus himoyasidan foydalanmaydi.

Wanna Cryptor-ning o'ziga xos xususiyatlari

Yangi zararli dastur va oldingi shunga o'xshash navlar o'rtasidagi asosiy asosiy farq shundaki. Ilgari shifrlash virusi foydalanuvchining o'zi pochta orqali olingan yoki o'zi bilan olib kelingan bajariladigan faylni ishga tushirgandan keyingina kompyuter yoki noutbukda ishlay boshlashi mumkin edi. Wanna Cry ransomware bu holda yaxshi ishlaydi.

445-portdagi fayllarga kirish xizmatining zaifligidan foydalanib, u operatsion tizimga kiradi va hamma narsani shifrlashni boshlaydi: hujjatlar, arxivlar, rasmlar, video va audio fayllar va boshqalar. Bunday faylni kengaytmasi bilan farqlashingiz mumkin .WNCRY.
Agar shaxsiy kompyuter mahalliy tarmoqda bo'lsa, virus tarmoqdagi boshqa mashinalarga tarqalib, hammaga zarar etkazadi.
Shuni ta'kidlash kerakki, har bir narsadan tashqari, u mysqld.exe, sqlwriter.exe, sqlserver.exe, Microsoft.Exchange kabi xizmatlarni o'zlarining ma'lumotlar bazalariga kirish uchun to'xtatadi.
Wanna Cryptor ransomware virusidan keyin ma'lumotlarni qayta tiklash mumkin emas. Hech bo'lmaganda hozircha. Ehtimol, vaziyat keyinroq o'zgaradi, ammo hozirda hujumdan keyin ma'lumotlarni qayta tiklash vositalari yo'q

O'zingizni to'lov dasturidan qanday himoya qilish kerak

O'zingizni mumkin bo'lgan kripto-virus hujumidan himoya qilish uchun Windows Update-ga o'tishni boshlang. Agar yangilanishlar mavjud bo'lsa, ularni o'rnatishni unutmang.

Agar biron sababga ko'ra siz Yangilash markazidan foydalana olmasangiz, boshqa yo'l bilan borishingiz mumkin. Siz Microsoft texnik qo'llab-quvvatlash veb-saytiga o'tishingiz kerak (havola) va u yerdan ishlab chiquvchilar tomonidan shoshilinch ravishda chiqarilgan Microsoft yamog'ini yuklab olishingiz kerak. MS17-010 Windows operatsion tizimining versiyangiz uchun.

Ikkinchi qadam, ishonch hosil qilish uchun, men zaif protokol SMB (Samba) 1-versiyasini qo'llab-quvvatlashni butunlay o'chirib qo'yishni tavsiya qilaman. Bu, ayniqsa, bitta kompyuter yoki noutbukga ega va hatto routersiz ulangan uy foydalanuvchilari uchun to'g'ri keladi. , to'g'ridan-to'g'ri provayder tarmog'iga. Buning uchun Administrator huquqlari bilan Windows buyruq qatorini ishga tushiring va buyruqni kiriting:

dism /onlayn /norestart /disable-funksiya /featurename:SMB1Protocol

"Enter" tugmasini bosing va natijaga qarang.

Operatsiya muvaffaqiyatli yakunlanishi kerak.

Uchinchi qadam - xavfsizlik devori sozlamalarini tekshirish. 135-139, 445 portlarni yopish tavsiya etiladi. Hech bo'lmaganda ransomware virusi epidemiyasi o'tguncha. Agar siz standart Windows xavfsizlik devoridan foydalansangiz va uchinchi tomon tomonidan hech narsa o'rnatilmagan bo'lsa, unda tegishli qoidalarni yaratishni maslahat beraman. Buni amalga oshirish uchun administrator huquqlari bilan yana buyruq qatorini oching va quyidagi buyruqlarni birma-bir kiriting:

netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall xavfsizlik devori qoidani qo'shish dir=in action=blok protokoli=tcp localport=5000 name=»Block_TCP-5000″

Har bir buyruqdan keyin Enter tugmasini bosing va natijaga qarang - "OK" bo'lishi kerak. Agar bu siz uchun qiyin bo'lsa, oddiy yordamchi dasturdan foydalaning Windows qurtlari eshiklarini tozalash vositasi. Bu hech qanday qo'shimcha ma'lumotni talab qilmaydi - faqat "O'chirish" dagi barcha elementlarni tekshiring.

To'rtinchi qadam - antivirus ma'lumotlar bazasini yangilashni unutmang! Agar sizda umuman o'rnatilmagan bo'lsa, uni o'rnatish vaqti keldi.

Wanna Cry to'lov dasturini davolash

Afsuski, terminal bosqichida, fayllar allaqachon shifrlangan va WannaDecryptor 2.0 oynasi ogohlantirish bilan ochilganda, "Borjomi ichish" juda kech. Uni davolash foydasiz, chunki siz allaqachon shifrlangan fayllarni parolini hal qila olmaysiz. Ammo agar infektsiya faqat operatsion tizimga kirgan bo'lsa, unda hech bo'lmaganda boshqa narsalarni saqlash imkoniyati mavjud. Ma'lum bo'lgan birinchi belgi ish stolida WannaCry yorlig'ining paydo bo'lishidir. Yana bir belgi noma'lum jarayon tomonidan protsessor yuklanishi. Bu holatda nima qilish kerak?
1. Kompyuterni Internetdan uzing va Windows-ni qayta ishga tushiring.
2. Shifrni hal qiluvchi yorliqning xususiyatlarini oching va bajariladigan faylning o'zi qaerda joylashganiga qarang.
3. Virusli papkani o'chiring.
Odatda u quyidagi fayllarni o'z ichiga oladi:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taskse.exe, u.wnry
4. Oddiy rejimda yuklang va OSni yaxshi antivirus bilan tekshiring va Microsoft patchini o'rnating.
Va yana bir maslahat - kengaytmali shifrlangan fayllar .wncry Uni yo'q qilmaslik yaxshiroqdir. Antivirus laboratoriyasi mutaxassislari oxir-oqibat shifrni ochish kalitini topa olishlari ehtimoli bor.