Sayt bo'limlari
Muharrir tanlovi:
- Kompyuter yoqilganda BIOS signal beradi
- Kontaktdagi sahifani qanday o'chirish mumkin?
- O'chirilgan VKontakte sahifasini qanday o'chirish mumkin?
- ENIAC - dunyodagi birinchi kompyuter
- VKontakte ish joyida bloklangan, qanday qilib uni aylanib o'tishim mumkin?
- VKontakte sahifasini telefoningizdan qanday o'chirish mumkin
- BIOS yordamida qattiq diskni formatlash usullari
- Agar sayt bloklangan bo'lsa, Odnoklassniki-ga qanday kirish mumkin?
- Kontaktdagi sahifani qanday qilib butunlay o'chirish mumkin?
- Ukrainada VK va Odnoklassniki blokirovkasini qanday chetlab o'tish mumkin
Reklama
WannaCry virusi |
WannaCry - bu tizimdagi barcha ma'lumotlarni bloklaydigan va foydalanuvchiga faqat ikkita faylni qoldiradigan maxsus dastur: keyin nima qilish kerakligi bo'yicha ko'rsatmalar va Wanna Decryptor dasturining o'zi - ma'lumotlarni qulfdan chiqarish vositasi. Ko'pgina kompyuter xavfsizligi kompaniyalari dasturiy ta'minotni chetlab o'tadigan to'lovni hal qilish vositalariga ega. Oddiy o'lim uchun "davolash" usuli hali ham noma'lum. WannaCry Decryptor ( yoki WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), allaqachon “2017 yil virusi” deb atalayapti. Va umuman sababsiz emas. Ushbu to'lov dasturi tarqala boshlagan paytdan boshlab atigi 24 soat ichida 45 000 dan ortiq kompyuterni yuqtirgan. Ayrim tadqiqotchilarning fikricha, ayni damda (15-may) milliondan ortiq kompyuter va serverlar allaqachon zararlangan. Eslatib o‘tamiz, virus 12-may kuni tarqala boshlagan. Birinchi bo‘lib Rossiya, Ukraina, Hindiston va Tayvandan kelgan foydalanuvchilar zarar ko‘rdi. Ayni paytda virus Yevropa, AQSh va Xitoyda yuqori tezlikda tarqalmoqda. Ma'lumotlar davlat idoralari (xususan, Rossiya Ichki ishlar vazirligi), shifoxonalar, transmilliy korporatsiyalar, universitetlar va maktablarning kompyuterlari va serverlarida shifrlangan. Wana Decryptor (Wanna Cry yoki Wana Decrypt0r) butun dunyo bo'ylab yuzlab kompaniyalar va davlat idoralarining ishini falaj qildi. Aslida, WinCry (WannaCry) EternalBlue oilasining ekspluatatsiyasi bo'lib, u Windows operatsion tizimidagi (Windows XP, Windows Vista, Windows 7, Windows 8 va Windows 10) ancha eski zaiflikdan foydalanadi va tizimga jimgina yuklanadi. Keyin, shifrni hal qilishga chidamli algoritmlardan foydalanib, u foydalanuvchi ma'lumotlarini (hujjatlar, fotosuratlar, videolar, elektron jadvallar, ma'lumotlar bazalari) shifrlaydi va ma'lumotlarni parolini hal qilish uchun to'lovni talab qiladi. Sxema yangi emas, biz doimo fayl shifrlovchilarining yangi turlari haqida yozamiz - lekin tarqatish usuli yangi. Va bu epidemiyaga olib keldi. Virus qanday ishlaydiZararli dastur SMBv1 protokoliga xizmat ko'rsatish uchun mas'ul bo'lgan 445-sonli ochiq TCP portiga ega kompyuterlarni qidirayotgan xostlarni internetda skanerlaydi. Bunday kompyuterni aniqlagandan so'ng, dastur EternalBlue zaifligidan foydalanishga bir necha bor urinib ko'radi va agar muvaffaqiyatli bo'lsa, DoublePulsar backdoor-ni o'rnatadi, bu orqali WannaCry dasturining bajariladigan kodi yuklab olinadi va ishga tushiriladi. Har bir ekspluatatsiyaga urinishda zararli dastur maqsadli kompyuterda DoublePulsar mavjudligini tekshiradi va agar aniqlansa, bevosita ushbu orqa eshik orqali yuklab oladi.
Bir marta ishga tushirilgandan so'ng, zararli dastur klassik to'lov dasturi kabi ishlaydi: u har bir zararlangan kompyuter uchun noyob RSA-2048 assimetrik kalit juftligini yaratadi. Shundan so'ng, WannaCry tizimni skanerlashni boshlaydi va uning keyingi ishlashi uchun muhim bo'lgan fayllarni qoldiradi. Har bir tanlangan fayl AES-128-CBC algoritmi yordamida ularning har biri uchun noyob (tasodifiy) kalit bilan shifrlanadi, bu esa o'z navbatida zararlangan tizimning umumiy RSA kaliti bilan shifrlanadi va shifrlangan faylning sarlavhasida saqlanadi. Bunday holda, kengaytma har bir shifrlangan faylga qo'shiladi .wncry. Infektsiyalangan tizimning RSA kalitlari juftligi tajovuzkorlarning ochiq kaliti bilan shifrlanadi va ularning Tor tarmog'ida joylashgan boshqaruv serverlariga yuboriladi, shundan so'ng barcha kalitlar zararlangan mashina xotirasidan o'chiriladi. Shifrlash jarayonini tugatgandan so'ng, dastur uch kun ichida ko'rsatilgan hamyonga ma'lum miqdordagi Bitcoinni (300 dollarga teng) o'tkazishingizni so'ragan oynani ko'rsatadi. Agar to'lov o'z vaqtida olinmasa, uning miqdori avtomatik ravishda ikki baravar ko'payadi. Ettinchi kuni, agar WannaCry virusli tizimdan olib tashlanmasa, shifrlangan fayllar yo'q qilinadi. Xabar kompyuterda o'rnatilgan tilga mos keladigan tilda ko'rsatiladi. Hammasi bo'lib, dastur 28 ta tilni qo'llab-quvvatlaydi. Shifrlash bilan parallel ravishda, dastur yangi kompyuterlarning keyingi infektsiyasi uchun o'zboshimchalik bilan Internet va mahalliy tarmoq manzillarini skanerlaydi. Symantec tadqiqotiga ko‘ra, tajovuzkorlarning har bir jabrlanuvchiga individual to‘lovlarni kuzatish va ularga shifrni ochish kalitini yuborish algoritmi poyga holati xatosi bilan amalga oshirilgan. Bu to'lovlarni ma'nosiz qiladi, chunki alohida kalitlar hech qanday holatda yuborilmaydi va fayllar shifrlangan bo'lib qoladi. Biroq, 200 MB dan kichik foydalanuvchi fayllarini shifrlashning ishonchli usuli mavjud va kattaroq fayllarni tiklash imkoniyati ham mavjud. Bundan tashqari, eskirgan Windows XP va Windows Server 2003 tizimlarida, psevdo-tasodifiy raqamlarni hisoblash algoritmini tizim tomonidan amalga oshirishning o'ziga xos xususiyatlaridan kelib chiqqan holda, hatto shaxsiy RSA kalitlarini tiklash va agar kompyuterda bo'lmasa, barcha ta'sirlangan fayllarni shifrlash mumkin. infektsiya paytidan boshlab qayta ishga tushirildi. Keyinchalik Comae Technologies kompaniyasining frantsuz kiberxavfsizlik bo'yicha mutaxassislari ushbu xususiyatni Windows 7 ga kengaytirdilar va yordam dasturini jamoat mulki sifatida nashr etish orqali amalda qo'lladilar. WanaKiwi, bu sizga to'lovsiz fayllarni shifrlash imkonini beradi. Dasturning dastlabki versiyalari kodi o'z-o'zini yo'q qilish mexanizmini o'z ichiga olgan, "Kill Switch" - dastur ikkita aniq Internet domenlarining mavjudligini tekshirgan va agar ular mavjud bo'lsa, kompyuterdan butunlay olib tashlangan. Buni birinchi marta 2017-yil 12-mayda Markus Xatchins kashf etgan. (inglizcha) rus , Britaniyaning Kryptos Logic kompaniyasining 22 yoshli virus tahlilchisi, u Twitter’da @MalwareTechBlog taxallusi ostida yozadi va domenlardan birini o‘z nomiga ro‘yxatdan o‘tkazgan. Shunday qilib, u zararli dasturning ushbu modifikatsiyasining tarqalishini vaqtincha qisman blokirovka qilishga muvaffaq bo'ldi. 14-may kuni ikkinchi domen ro‘yxatdan o‘tkazildi. Virusning keyingi versiyalarida ushbu o'z-o'zini o'chirish mexanizmi olib tashlandi, ammo bu dastlabki dastur kodida emas, balki bajariladigan faylni tahrirlash orqali amalga oshirildi, bu esa ushbu tuzatishning kelib chiqishi asl WannaCry mualliflaridan emasligini ko'rsatadi. , lekin uchinchi tomon hujumchilaridan. Natijada, shifrlash mexanizmi shikastlangan va qurtning ushbu versiyasi faqat zaif kompyuterlarni topish orqali o'zini yoyishi mumkin, ammo ularga to'g'ridan-to'g'ri zarar etkazishga qodir emas. To‘lov dasturiga xos bo‘lgan WannaCry tarqalishining yuqori darajasi MS17-010 byulletenida tasvirlangan Microsoft Windows operatsion tizimining 2017-yil fevral oyida chop etilgan SMB tarmoq protokolidagi zaiflikdan foydalanish bilan ta’minlanadi. Agar klassik sxemada to'lov dasturi foydalanuvchining elektron pochta yoki veb-havola orqali qilgan harakatlari tufayli kompyuterga tushgan bo'lsa, WannaCry holatida foydalanuvchining ishtiroki butunlay chiqarib tashlanadi. Zaif kompyuterni aniqlash va uning to'liq infektsiyasi o'rtasidagi vaqt taxminan 3 minut. Ishlab chiquvchi kompaniya Windows XP/Windows Server 2003 dan boshlab va Windows 10/Windows Server 2016 bilan tugaydigan SMBv1 protokoli joriy qilingan mutlaqo barcha foydalanuvchi va server mahsulotlarida zaiflik mavjudligini tasdiqladi. 2017 yil 14 martda, Microsoft qo'llab-quvvatlanadigan barcha operatsion tizimlardagi zaiflikni zararsizlantirish uchun mo'ljallangan bir qator yangilanishlarni chiqardi. WannaCry tarqalishidan so'ng kompaniya 13-may kuni qo'llab-quvvatlanadigan mahsulotlar (Windows XP, Windows Server 2003 va Windows 8) uchun yangilanishlarni chiqarish bo'yicha misli ko'rilmagan qadam tashladi. WannaCry virusining tarqalishiVirus turli yo'llar bilan tarqalishi mumkin:
Shaxsan men nima uchun tarmoq ulanishi antivirus tomonidan tekshirilmasligini tushunmayapman. Veb-sayt yoki brauzerga kirish orqali yuqtirishning bir xil usuli ishlab chiquvchilarning nochorligini va shaxsiy kompyuterni himoya qilish uchun litsenziyalangan dasturiy ta'minot uchun so'ralgan mablag'lar hech qanday tarzda oqlanmasligini isbotlaydi. INFEKTSION belgilari va virusni davolashFoydalanuvchining shaxsiy kompyuteriga muvaffaqiyatli o'rnatilgandan so'ng, WannaCry mahalliy tarmoq bo'ylab boshqa shaxsiy kompyuterlarga qurt kabi tarqalishga harakat qiladi. Shifrlangan fayllar .WCRY tizim kengaytmasini oladi va butunlay o'qib bo'lmaydigan holga keladi va ularni o'zingiz hal qilish mumkin emas. To'liq shifrlashdan so'ng, Wcry ish stoli fon rasmini o'zgartiradi va shifrlangan ma'lumotlarga ega papkalardagi fayllarni shifrlash bo'yicha "ko'rsatmalar" qoldiradi. Dastlab xakerlar shifrni ochish kalitlari uchun 300 dollar undirishgan, keyin esa bu ko‘rsatkichni 600 dollarga yetkazgan. WannaCry Decryptor ransomware tomonidan kompyuteringizni yuqtirishdan qanday himoyalanish mumkin?Microsoft veb-saytidan operatsion tizim yangilanishini yuklab oling. Nima qilsa bo'ladi Sizning kompyuteringiz infektsiyalanganmi?Infektsiyalangan kompyuterdagi ma'lumotlarning kamida bir qismini tiklashga harakat qilish uchun quyidagi ko'rsatmalardan foydalaning. Antivirusingizni yangilang va operatsion tizim patchini o'rnating. Ushbu virus uchun shifrlovchi hali tabiatda mavjud emas. Biz tajovuzkorlarga to'lovni to'lashni qat'iyan tavsiya etmaymiz - to'lovni olgandan keyin ular sizning ma'lumotlaringizni shifrlashiga hech qanday kafolat yo'q, hattoki zarracha ham. WannaCry ransomware-ni avtomatik tozalash vositasidan foydalanib olib tashlangUmuman zararli dasturlar va xususan, to'lov dasturlari bilan ishlashning juda samarali usuli. Tasdiqlangan himoya kompleksidan foydalanish har qanday virusli komponentlarni to'liq aniqlashni va ularni bir marta bosish bilan to'liq olib tashlashni kafolatlaydi. E'tibor bering, biz ikki xil jarayon haqida gapiramiz: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni tiklash. Biroq, tahdidni albatta yo'q qilish kerak, chunki undan foydalanadigan boshqa kompyuter troyanlarining kiritilishi haqida ma'lumotlar mavjud.
Shifrlangan fayllarga kirishni tiklangTa'kidlanganidek, no_more_ransom ransomware kuchli shifrlash algoritmi yordamida fayllarni qulflaydi, shuning uchun shifrlangan ma'lumotlarni sehrli tayoqcha to'lqini bilan qayta tiklab bo'lmaydi - eshitilmagan to'lov miqdorini to'lash kifoya. Ammo ba'zi usullar haqiqatan ham muhim ma'lumotlarni qayta tiklashga yordam beradigan qutqaruvchi bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin. Fayllarni avtomatik tiklash dasturi (deshifrlash) Juda noodatiy holat ma'lum. Ushbu infektsiya asl fayllarni shifrlanmagan shaklda o'chirib tashlaydi. Shunday qilib, tovlamachilik maqsadida shifrlash jarayoni ularning nusxalarini nishonga oladi. Bu kabi dasturlarga imkon beradi Ma'lumotlarni qayta tiklash Pro o'chirilgan narsalarni qayta tiklash, hatto ularni olib tashlashning ishonchliligi kafolatlangan bo'lsa ham. Faylni tiklash jarayoniga murojaat qilish tavsiya etiladi, uning samaradorligi shubhasizdir. Jildlarning soyali nusxalari Yondashuv har bir tiklash nuqtasida takrorlanadigan Windows fayllarini zaxiralash jarayoniga asoslangan. Ushbu usulning ishlashi uchun muhim shart: "Tizimni tiklash" funktsiyasi infektsiyadan oldin faollashtirilgan bo'lishi kerak. Biroq, tiklash nuqtasidan keyin faylga kiritilgan har qanday o'zgarishlar faylning tiklangan versiyasida ko'rinmaydi. Zaxira Bu barcha to'lovsiz usullar orasida eng yaxshisidir. Agar ma'lumotlarni tashqi serverga zaxiralash tartibi kompyuteringizga to'lov dasturi hujumidan oldin qo'llanilgan bo'lsa, shifrlangan fayllarni tiklash uchun siz shunchaki tegishli interfeysga kirishingiz, kerakli fayllarni tanlashingiz va zaxiradan ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. Operatsiyani amalga oshirishdan oldin, to'lov dasturi to'liq o'chirilganligiga ishonch hosil qilishingiz kerak. WannaCry to'lov dasturining mumkin bo'lgan qoldiq komponentlarini tekshiringQo'lda tozalash maxfiy operatsion tizim ob'ektlari yoki ro'yxatga olish kitobi elementlari sifatida olib tashlanishi mumkin bo'lgan to'lov dasturining alohida qismlarini yo'qotish xavfini tug'diradi. Alohida zararli elementlarning qisman saqlanish xavfini bartaraf qilish uchun kompyuteringizni zararli dasturlarga ixtisoslashgan ishonchli xavfsizlik dasturlari paketi yordamida skanerlang. DekodlashAmmo shifrni ochish uchun pul to'laganlar haqida ma'lumot yo'q, xuddi xakerlarning to'lovdan keyin odamlarning ruhini tinchlantirish va ma'lumotni parolini ochish niyati haqida ma'lumot yo'q (((( Ammo markazda "Decrypt" tugmachasining ishlash printsipi, shuningdek, tajovuzkorlar bitkoinlarni yuborgan foydalanuvchilarni aniqlashning imkoni yo'qligi haqida ma'lumot bor edi, ya'ni hech kim qurbonlarga hech narsa tiklamaydi:
WannaCry virusini yaratuvchilar ma'nosiz domen ko'rinishidagi vaqtinchalik himoyani chetlab o'tishdi.70 dan ortiq mamlakatlardagi kompyuterlarga zarar yetkazgan WannaCry ransomware virusi yaratuvchilari uning yangi versiyasini chiqardi. Unda ma'nosiz domenga kirish uchun kod yo'q, bu asl virus tarqalishining oldini olish uchun ishlatilgan, deb yozadi Motherboard. Nashr virusning yangi versiyasi paydo bo'lganligi haqidagi tasdiqni kompyuter infektsiyasining yangi holatlarini o'rgangan ikki mutaxassisdan oldi. Ulardan biri Kasperskiy laboratoriyasining xalqaro tadqiqot guruhi rahbari Kostin Rayu. Mutaxassislar WannaCry’da boshqa o‘zgarishlar paydo bo‘lgan-bo‘lmaganiga aniqlik kiritmadi. 13-may kuni virus tarqalishi Proofpoint mutaxassisi Darien Xass va MalwareTech blogi muallifi tomonidan to‘xtatildi – ular virus ma’nosiz domen nomiga kirayotganini aniqladilar va ushbu manzilni ro‘yxatdan o‘tkazishdi. Shundan so'ng ular WannaCry tarqalishi to'xtaganini aniqladilar - ammo mutaxassislar virus yaratuvchilari katta ehtimol bilan tez orada dasturning yangilangan versiyasini chiqarishlarini ta'kidladilar. |
O'qing: |
---|
Mashhur:
Yangi
- Kontaktdagi sahifani qanday o'chirish mumkin?
- O'chirilgan VKontakte sahifasini qanday o'chirish mumkin?
- ENIAC - dunyodagi birinchi kompyuter
- VKontakte ish joyida bloklangan, qanday qilib uni aylanib o'tishim mumkin?
- VKontakte sahifasini telefoningizdan qanday o'chirish mumkin
- BIOS yordamida qattiq diskni formatlash usullari
- Agar sayt bloklangan bo'lsa, Odnoklassniki-ga qanday kirish mumkin?
- Kontaktdagi sahifani qanday qilib butunlay o'chirish mumkin?
- Ukrainada VK va Odnoklassniki blokirovkasini qanday chetlab o'tish mumkin
- BIOS orqali formatlash