WannaCry - bu tizimdagi barcha ma'lumotlarni bloklaydigan va foydalanuvchiga faqat ikkita faylni qoldiradigan maxsus dastur: keyin nima qilish kerakligi bo'yicha ko'rsatmalar va Wanna Decryptor dasturining o'zi - ma'lumotlarni qulfdan chiqarish vositasi.

Ko'pgina kompyuter xavfsizligi kompaniyalari dasturiy ta'minotni chetlab o'tadigan to'lovni hal qilish vositalariga ega. Oddiy o'lim uchun "davolash" usuli hali ham noma'lum.

WannaCry Decryptor ( yoki WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), allaqachon “2017 yil virusi” deb atalayapti. Va umuman sababsiz emas. Ushbu to'lov dasturi tarqala boshlagan paytdan boshlab atigi 24 soat ichida 45 000 dan ortiq kompyuterni yuqtirgan. Ayrim tadqiqotchilarning fikricha, ayni damda (15-may) milliondan ortiq kompyuter va serverlar allaqachon zararlangan. Eslatib o‘tamiz, virus 12-may kuni tarqala boshlagan. Birinchi bo‘lib Rossiya, Ukraina, Hindiston va Tayvandan kelgan foydalanuvchilar zarar ko‘rdi. Ayni paytda virus Yevropa, AQSh va Xitoyda yuqori tezlikda tarqalmoqda.

Ma'lumotlar davlat idoralari (xususan, Rossiya Ichki ishlar vazirligi), shifoxonalar, transmilliy korporatsiyalar, universitetlar va maktablarning kompyuterlari va serverlarida shifrlangan.

Wana Decryptor (Wanna Cry yoki Wana Decrypt0r) butun dunyo bo'ylab yuzlab kompaniyalar va davlat idoralarining ishini falaj qildi.

Aslida, WinCry (WannaCry) EternalBlue oilasining ekspluatatsiyasi bo'lib, u Windows operatsion tizimidagi (Windows XP, Windows Vista, Windows 7, Windows 8 va Windows 10) ancha eski zaiflikdan foydalanadi va tizimga jimgina yuklanadi. Keyin, shifrni hal qilishga chidamli algoritmlardan foydalanib, u foydalanuvchi ma'lumotlarini (hujjatlar, fotosuratlar, videolar, elektron jadvallar, ma'lumotlar bazalari) shifrlaydi va ma'lumotlarni parolini hal qilish uchun to'lovni talab qiladi. Sxema yangi emas, biz doimo fayl shifrlovchilarining yangi turlari haqida yozamiz - lekin tarqatish usuli yangi. Va bu epidemiyaga olib keldi.

Virus qanday ishlaydi

Zararli dastur SMBv1 protokoliga xizmat ko'rsatish uchun mas'ul bo'lgan 445-sonli ochiq TCP portiga ega kompyuterlarni qidirayotgan xostlarni internetda skanerlaydi. Bunday kompyuterni aniqlagandan so'ng, dastur EternalBlue zaifligidan foydalanishga bir necha bor urinib ko'radi va agar muvaffaqiyatli bo'lsa, DoublePulsar backdoor-ni o'rnatadi, bu orqali WannaCry dasturining bajariladigan kodi yuklab olinadi va ishga tushiriladi. Har bir ekspluatatsiyaga urinishda zararli dastur maqsadli kompyuterda DoublePulsar mavjudligini tekshiradi va agar aniqlansa, bevosita ushbu orqa eshik orqali yuklab oladi.

Aytgancha, bu yo'llar zamonaviy antivirus dasturlari tomonidan kuzatilmaydi, bu esa infektsiyani juda keng tarqatdi. Va bu antivirus dasturlarini ishlab chiquvchilar bog'idagi ulkan toshbo'ron. Bunga qanday yo'l qo'yish mumkin? Nimaga pul olasan?

Bir marta ishga tushirilgandan so'ng, zararli dastur klassik to'lov dasturi kabi ishlaydi: u har bir zararlangan kompyuter uchun noyob RSA-2048 assimetrik kalit juftligini yaratadi. Shundan so'ng, WannaCry tizimni skanerlashni boshlaydi va uning keyingi ishlashi uchun muhim bo'lgan fayllarni qoldiradi. Har bir tanlangan fayl AES-128-CBC algoritmi yordamida ularning har biri uchun noyob (tasodifiy) kalit bilan shifrlanadi, bu esa o'z navbatida zararlangan tizimning umumiy RSA kaliti bilan shifrlanadi va shifrlangan faylning sarlavhasida saqlanadi. Bunday holda, kengaytma har bir shifrlangan faylga qo'shiladi .wncry. Infektsiyalangan tizimning RSA kalitlari juftligi tajovuzkorlarning ochiq kaliti bilan shifrlanadi va ularning Tor tarmog'ida joylashgan boshqaruv serverlariga yuboriladi, shundan so'ng barcha kalitlar zararlangan mashina xotirasidan o'chiriladi. Shifrlash jarayonini tugatgandan so'ng, dastur uch kun ichida ko'rsatilgan hamyonga ma'lum miqdordagi Bitcoinni (300 dollarga teng) o'tkazishingizni so'ragan oynani ko'rsatadi. Agar to'lov o'z vaqtida olinmasa, uning miqdori avtomatik ravishda ikki baravar ko'payadi. Ettinchi kuni, agar WannaCry virusli tizimdan olib tashlanmasa, shifrlangan fayllar yo'q qilinadi. Xabar kompyuterda o'rnatilgan tilga mos keladigan tilda ko'rsatiladi. Hammasi bo'lib, dastur 28 ta tilni qo'llab-quvvatlaydi. Shifrlash bilan parallel ravishda, dastur yangi kompyuterlarning keyingi infektsiyasi uchun o'zboshimchalik bilan Internet va mahalliy tarmoq manzillarini skanerlaydi.

Symantec tadqiqotiga ko‘ra, tajovuzkorlarning har bir jabrlanuvchiga individual to‘lovlarni kuzatish va ularga shifrni ochish kalitini yuborish algoritmi poyga holati xatosi bilan amalga oshirilgan. Bu to'lovlarni ma'nosiz qiladi, chunki alohida kalitlar hech qanday holatda yuborilmaydi va fayllar shifrlangan bo'lib qoladi. Biroq, 200 MB dan kichik foydalanuvchi fayllarini shifrlashning ishonchli usuli mavjud va kattaroq fayllarni tiklash imkoniyati ham mavjud. Bundan tashqari, eskirgan Windows XP va Windows Server 2003 tizimlarida, psevdo-tasodifiy raqamlarni hisoblash algoritmini tizim tomonidan amalga oshirishning o'ziga xos xususiyatlaridan kelib chiqqan holda, hatto shaxsiy RSA kalitlarini tiklash va agar kompyuterda bo'lmasa, barcha ta'sirlangan fayllarni shifrlash mumkin. infektsiya paytidan boshlab qayta ishga tushirildi. Keyinchalik Comae Technologies kompaniyasining frantsuz kiberxavfsizlik bo'yicha mutaxassislari ushbu xususiyatni Windows 7 ga kengaytirdilar va yordam dasturini jamoat mulki sifatida nashr etish orqali amalda qo'lladilar. WanaKiwi, bu sizga to'lovsiz fayllarni shifrlash imkonini beradi.

Dasturning dastlabki versiyalari kodi o'z-o'zini yo'q qilish mexanizmini o'z ichiga olgan, "Kill Switch" - dastur ikkita aniq Internet domenlarining mavjudligini tekshirgan va agar ular mavjud bo'lsa, kompyuterdan butunlay olib tashlangan. Buni birinchi marta 2017-yil 12-mayda Markus Xatchins kashf etgan. (inglizcha) rus , Britaniyaning Kryptos Logic kompaniyasining 22 yoshli virus tahlilchisi, u Twitter’da @MalwareTechBlog taxallusi ostida yozadi va domenlardan birini o‘z nomiga ro‘yxatdan o‘tkazgan. Shunday qilib, u zararli dasturning ushbu modifikatsiyasining tarqalishini vaqtincha qisman blokirovka qilishga muvaffaq bo'ldi. 14-may kuni ikkinchi domen ro‘yxatdan o‘tkazildi. Virusning keyingi versiyalarida ushbu o'z-o'zini o'chirish mexanizmi olib tashlandi, ammo bu dastlabki dastur kodida emas, balki bajariladigan faylni tahrirlash orqali amalga oshirildi, bu esa ushbu tuzatishning kelib chiqishi asl WannaCry mualliflaridan emasligini ko'rsatadi. , lekin uchinchi tomon hujumchilaridan. Natijada, shifrlash mexanizmi shikastlangan va qurtning ushbu versiyasi faqat zaif kompyuterlarni topish orqali o'zini yoyishi mumkin, ammo ularga to'g'ridan-to'g'ri zarar etkazishga qodir emas.

To‘lov dasturiga xos bo‘lgan WannaCry tarqalishining yuqori darajasi MS17-010 byulletenida tasvirlangan Microsoft Windows operatsion tizimining 2017-yil fevral oyida chop etilgan SMB tarmoq protokolidagi zaiflikdan foydalanish bilan ta’minlanadi. Agar klassik sxemada to'lov dasturi foydalanuvchining elektron pochta yoki veb-havola orqali qilgan harakatlari tufayli kompyuterga tushgan bo'lsa, WannaCry holatida foydalanuvchining ishtiroki butunlay chiqarib tashlanadi. Zaif kompyuterni aniqlash va uning to'liq infektsiyasi o'rtasidagi vaqt taxminan 3 minut.

Ishlab chiquvchi kompaniya Windows XP/Windows Server 2003 dan boshlab va Windows 10/Windows Server 2016 bilan tugaydigan SMBv1 protokoli joriy qilingan mutlaqo barcha foydalanuvchi va server mahsulotlarida zaiflik mavjudligini tasdiqladi. 2017 yil 14 martda, Microsoft qo'llab-quvvatlanadigan barcha operatsion tizimlardagi zaiflikni zararsizlantirish uchun mo'ljallangan bir qator yangilanishlarni chiqardi. WannaCry tarqalishidan so'ng kompaniya 13-may kuni qo'llab-quvvatlanadigan mahsulotlar (Windows XP, Windows Server 2003 va Windows 8) uchun yangilanishlarni chiqarish bo'yicha misli ko'rilmagan qadam tashladi.

WannaCry virusining tarqalishi

Virus turli yo'llar bilan tarqalishi mumkin:

• Yagona kompyuter tarmog'i orqali;
• Pochta orqali;
• Brauzer orqali.

Shaxsan men nima uchun tarmoq ulanishi antivirus tomonidan tekshirilmasligini tushunmayapman. Veb-sayt yoki brauzerga kirish orqali yuqtirishning bir xil usuli ishlab chiquvchilarning nochorligini va shaxsiy kompyuterni himoya qilish uchun litsenziyalangan dasturiy ta'minot uchun so'ralgan mablag'lar hech qanday tarzda oqlanmasligini isbotlaydi.

INFEKTSION belgilari va virusni davolash

Foydalanuvchining shaxsiy kompyuteriga muvaffaqiyatli o'rnatilgandan so'ng, WannaCry mahalliy tarmoq bo'ylab boshqa shaxsiy kompyuterlarga qurt kabi tarqalishga harakat qiladi. Shifrlangan fayllar .WCRY tizim kengaytmasini oladi va butunlay o'qib bo'lmaydigan holga keladi va ularni o'zingiz hal qilish mumkin emas. To'liq shifrlashdan so'ng, Wcry ish stoli fon rasmini o'zgartiradi va shifrlangan ma'lumotlarga ega papkalardagi fayllarni shifrlash bo'yicha "ko'rsatmalar" qoldiradi.

Dastlab xakerlar shifrni ochish kalitlari uchun 300 dollar undirishgan, keyin esa bu ko‘rsatkichni 600 dollarga yetkazgan.

WannaCry Decryptor ransomware tomonidan kompyuteringizni yuqtirishdan qanday himoyalanish mumkin?

Microsoft veb-saytidan operatsion tizim yangilanishini yuklab oling.

Nima qilsa bo'ladi Sizning kompyuteringiz infektsiyalanganmi?

Infektsiyalangan kompyuterdagi ma'lumotlarning kamida bir qismini tiklashga harakat qilish uchun quyidagi ko'rsatmalardan foydalaning. Antivirusingizni yangilang va operatsion tizim patchini o'rnating. Ushbu virus uchun shifrlovchi hali tabiatda mavjud emas. Biz tajovuzkorlarga to'lovni to'lashni qat'iyan tavsiya etmaymiz - to'lovni olgandan keyin ular sizning ma'lumotlaringizni shifrlashiga hech qanday kafolat yo'q, hattoki zarracha ham.

WannaCry ransomware-ni avtomatik tozalash vositasidan foydalanib olib tashlang

Umuman zararli dasturlar va xususan, to'lov dasturlari bilan ishlashning juda samarali usuli. Tasdiqlangan himoya kompleksidan foydalanish har qanday virusli komponentlarni to'liq aniqlashni va ularni bir marta bosish bilan to'liq olib tashlashni kafolatlaydi. E'tibor bering, biz ikki xil jarayon haqida gapiramiz: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni tiklash. Biroq, tahdidni albatta yo'q qilish kerak, chunki undan foydalanadigan boshqa kompyuter troyanlarining kiritilishi haqida ma'lumotlar mavjud.

1. WannaCry viruslarini olib tashlash dasturini yuklab oling. Dasturiy ta'minotni ishga tushirgandan so'ng tugmani bosing Kompyuterni skanerlashni boshlang(Skanerlashni boshlang). Ransomware olib tashlash dasturini yuklab oling WannaCry .
2. O'rnatilgan dasturiy ta'minot skanerlash paytida aniqlangan tahdidlar haqida hisobot beradi. Barcha aniqlangan tahdidlarni olib tashlash uchun variantni tanlang Tahdidlarni tuzatish(Tahdidlarni yo'q qilish). Ko'rib chiqilayotgan zararli dastur butunlay o'chiriladi.

Shifrlangan fayllarga kirishni tiklang

Ta'kidlanganidek, no_more_ransom ransomware kuchli shifrlash algoritmi yordamida fayllarni qulflaydi, shuning uchun shifrlangan ma'lumotlarni sehrli tayoqcha to'lqini bilan qayta tiklab bo'lmaydi - eshitilmagan to'lov miqdorini to'lash kifoya. Ammo ba'zi usullar haqiqatan ham muhim ma'lumotlarni qayta tiklashga yordam beradigan qutqaruvchi bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin.

Fayllarni avtomatik tiklash dasturi (deshifrlash)

Juda noodatiy holat ma'lum. Ushbu infektsiya asl fayllarni shifrlanmagan shaklda o'chirib tashlaydi. Shunday qilib, tovlamachilik maqsadida shifrlash jarayoni ularning nusxalarini nishonga oladi. Bu kabi dasturlarga imkon beradi Ma'lumotlarni qayta tiklash Pro o'chirilgan narsalarni qayta tiklash, hatto ularni olib tashlashning ishonchliligi kafolatlangan bo'lsa ham. Faylni tiklash jarayoniga murojaat qilish tavsiya etiladi, uning samaradorligi shubhasizdir.

Jildlarning soyali nusxalari

Yondashuv har bir tiklash nuqtasida takrorlanadigan Windows fayllarini zaxiralash jarayoniga asoslangan. Ushbu usulning ishlashi uchun muhim shart: "Tizimni tiklash" funktsiyasi infektsiyadan oldin faollashtirilgan bo'lishi kerak. Biroq, tiklash nuqtasidan keyin faylga kiritilgan har qanday o'zgarishlar faylning tiklangan versiyasida ko'rinmaydi.

Zaxira

Bu barcha to'lovsiz usullar orasida eng yaxshisidir. Agar ma'lumotlarni tashqi serverga zaxiralash tartibi kompyuteringizga to'lov dasturi hujumidan oldin qo'llanilgan bo'lsa, shifrlangan fayllarni tiklash uchun siz shunchaki tegishli interfeysga kirishingiz, kerakli fayllarni tanlashingiz va zaxiradan ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. Operatsiyani amalga oshirishdan oldin, to'lov dasturi to'liq o'chirilganligiga ishonch hosil qilishingiz kerak.

WannaCry to'lov dasturining mumkin bo'lgan qoldiq komponentlarini tekshiring

Qo'lda tozalash maxfiy operatsion tizim ob'ektlari yoki ro'yxatga olish kitobi elementlari sifatida olib tashlanishi mumkin bo'lgan to'lov dasturining alohida qismlarini yo'qotish xavfini tug'diradi. Alohida zararli elementlarning qisman saqlanish xavfini bartaraf qilish uchun kompyuteringizni zararli dasturlarga ixtisoslashgan ishonchli xavfsizlik dasturlari paketi yordamida skanerlang.

Dekodlash

Ammo shifrni ochish uchun pul to'laganlar haqida ma'lumot yo'q, xuddi xakerlarning to'lovdan keyin odamlarning ruhini tinchlantirish va ma'lumotni parolini ochish niyati haqida ma'lumot yo'q ((((

Ammo markazda "Decrypt" tugmachasining ishlash printsipi, shuningdek, tajovuzkorlar bitkoinlarni yuborgan foydalanuvchilarni aniqlashning imkoni yo'qligi haqida ma'lumot bor edi, ya'ni hech kim qurbonlarga hech narsa tiklamaydi:

“Kriptor ikki turdagi fayllarni yaratadi: birinchidan, bir qismi 128 bitli AES yordamida shifrlanadi va yaratilgan shifrni ochish kaliti to‘g‘ridan-to‘g‘ri shifrlangan faylga qo‘shiladi. Shu tarzda shifrlangan fayllarga kengaytma beriladi .wncyr va aynan mana shular parolni yechish tugmasini bosganingizda paroli ochiladi. Shifrlangan narsalarning asosiy qismi kengaytmani oladi .wncry va kalit endi yo'q.
Bunday holda, shifrlash faylning o'zida sodir bo'lmaydi, lekin avval shifrlangan tarkib joylashtirilgan diskda fayl yaratiladi, so'ngra asl fayl o'chiriladi. Shunga ko'ra, bir muncha vaqt davomida turli xil o'chirish yordam dasturlari yordamida ma'lumotlarning bir qismini tiklash imkoniyati mavjud.
Bunday yordamchi dasturlarga qarshi kurashish uchun kriptor doimiy ravishda diskka har xil axlatlarni yozadi, shuning uchun disk maydoni juda tez sarflanadi.
Ammo nima uchun to'lov va uni tekshirish mexanizmlari haqida hali ham ma'lumot yo'qligi ajablanarli. Ehtimol, bunday tekshirish uchun zarur bo'lgan juda munosib miqdor ($300) ta'sir qiladi.

WannaCry virusini yaratuvchilar ma'nosiz domen ko'rinishidagi vaqtinchalik himoyani chetlab o'tishdi.

70 dan ortiq mamlakatlardagi kompyuterlarga zarar yetkazgan WannaCry ransomware virusi yaratuvchilari uning yangi versiyasini chiqardi. Unda ma'nosiz domenga kirish uchun kod yo'q, bu asl virus tarqalishining oldini olish uchun ishlatilgan, deb yozadi Motherboard. Nashr virusning yangi versiyasi paydo bo'lganligi haqidagi tasdiqni kompyuter infektsiyasining yangi holatlarini o'rgangan ikki mutaxassisdan oldi. Ulardan biri Kasperskiy laboratoriyasining xalqaro tadqiqot guruhi rahbari Kostin Rayu.

Mutaxassislar WannaCry’da boshqa o‘zgarishlar paydo bo‘lgan-bo‘lmaganiga aniqlik kiritmadi.

13-may kuni virus tarqalishi Proofpoint mutaxassisi Darien Xass va MalwareTech blogi muallifi tomonidan to‘xtatildi – ular virus ma’nosiz domen nomiga kirayotganini aniqladilar va ushbu manzilni ro‘yxatdan o‘tkazishdi. Shundan so'ng ular WannaCry tarqalishi to'xtaganini aniqladilar - ammo mutaxassislar virus yaratuvchilari katta ehtimol bilan tez orada dasturning yangilangan versiyasini chiqarishlarini ta'kidladilar.