WannaCry virusi Microsoft Windows operatsion tizimida ishlaydigan kompyuterlarni zararlash uchun EternalBlue ekspluatatsiyasidan foydalanadigan to'lov dasturidir. To'lov dasturi WannaCrypt0r, WannaCryptor, WCry va Wana Decrypt0r nomi bilan ham tanilgan. Maqsadli kompyuterga tegsa, u barcha fayllarni tezda shifrlaydi va ularni quyidagi kengaytmalardan biri bilan teglaydi: .wcry, .wncryt Va .wncry.

Virus kuchli shifrlash yordamida ma'lumotlarni yaroqsiz qiladi, ish stoli fon rasmini o'zgartiradi, "Iltimos, meni o'qing!.txt" to'lov yozuvini yaratadi va keyin kompyuterdagi fayllar shifrlanganligi haqida xabar beruvchi "WannaDecrypt0r" nomli dastur oynasini ishga tushiradi. Zararli dastur jabrlanuvchini bitkoinda 300 dan 600 dollargacha to‘lov to‘lashga chaqiradi va agar jabrlanuvchi 7 kun ichida pulni to‘lamasa, barcha fayllarni o‘chirib tashlashga va’da beradi.

Zararli dastur shifrlangan ma'lumotlarni qayta tiklashni oldini olish uchun soya nusxalarini o'chiradi. Bundan tashqari, ransomware qurt kabi harakat qiladi, chunki u maqsadli kompyuterga tushgandan so'ng, u boshqa kompyuterlarni yuqtirish uchun qidira boshlaydi.

Virus to'lovdan keyin fayllaringizni tiklashni va'da qilsa ham, jinoyatchilarga ishonish uchun hech qanday sabab yo'q. Sayt jamoasi tarmoq drayverlari, masalan, zararli dasturlarga qarshi dasturlardan foydalangan holda to'lov dasturini xavfsiz rejimda olib tashlashni tavsiya qiladi.

Kiberjinoyatchilar ushbu to'lov dasturidan 2017-yil 12-may, juma kuni boshlangan yirik kiberhujumda foydalanganlar. So'nggi ma'lumotlarga ko'ra, zararli hujum 150 dan ortiq mamlakatlardagi 230 000 dan ortiq kompyuterlarga muvaffaqiyatli ta'sir ko'rsatdi.

Kiberhujumning ta'siri dahshatli, chunki virus turli sohalardagi tashkilotlarni nishonga oladi, sog'liqni saqlash eng ko'p zarar ko'rganga o'xshaydi. Hujum tufayli turli shifoxona xizmatlari to'xtatildi, yuzlab operatsiyalar bekor qilindi. Xabarlarga ko'ra, sotib olishdan zarar ko'rgan birinchi yirik kompaniyalar Telefonica, Gas Natural va Iberdrola edi.

Jabrlangan kompaniyalarning ba'zilari ma'lumotlarning zaxira nusxasini yaratgan, boshqalari esa fojiali oqibatlarga duch kelgan. Istisnosiz, barcha qurbonlarga WannaCry-ni imkon qadar tezroq olib tashlash tavsiya etiladi, chunki bu to'lov dasturining yanada tarqalishini oldini olishga yordam beradi.

WannaCry EternalBlue ekspluatatsiyasi yordamida tarqaladi

WannaCry to'lov dasturining asosiy infektsiya vektori EternalBlue ekspluatatsiyasi bo'lib, u AQSh Milliy Xavfsizlik Agentligidan (NSA) o'g'irlangan va Shadow Brokers deb nomlanuvchi xakerlar guruhi tomonidan onlayn nashr etilgan kiber josuslik dasturidir.

EternalBlue hujumi Microsoft SMB (Server Message Block) protokolidagi Windows CVE-2017-0145 zaifligiga qaratilgan. Microsoft’ning MS17-010 xavfsizlik byulleteniga (2017-yil 14-mayda chiqarilgan) ko‘ra, zaiflik endi tuzatildi. Ijrochilar tomonidan foydalanilgan ekspluatatsiya kodi eski Windows 7 va Windows Server 2008 tizimlarini yuqtirish uchun mo'ljallangan edi, biroq Windows 10 foydalanuvchilariga virus ta'sir qilmasligi mumkinligi xabar qilingan.

Zararli dastur odatda bir qator ekspluatatsiyalar va to'lov dasturining o'zini o'z ichiga olgan troyan tomchisi shaklida keladi. Keyin tomchi to'lovni kompyuterga yuklab olish uchun uzoq serverlardan biriga ulanishga harakat qiladi. WannaCry-ning so'nggi versiyalari APAC mintaqasida girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 orqali tarqatiladi. Ransomware to'lov dasturini tarqatish haqida ma'lumotga ega bo'lmagan har bir kishiga ta'sir qilishi mumkin, shuning uchun biz mutaxassislarimiz tomonidan tayyorlangan WannaCry to'lov dasturini oldini olish bo'yicha ushbu qo'llanmani o'qishni tavsiya qilamiz:

1. Microsoft tomonidan yaqinda chiqarilgan MS17-010 tizim xavfsizligi yangilanishini o'rnating, bu to'lov dasturi tomonidan foydalaniladigan zaiflikni tuzatadi. Yangilanishlar faqat Windows XP yoki Windows 2003 kabi eski operatsion tizimlar uchun chiqarilgan.
2. Boshqa kompyuter dasturlari uchun yangilanishlarni kuzatib boring.
3. Tizimingizni zararli dasturlar bilan zararlash uchun noqonuniy urinishlardan kompyuteringizni himoya qilish uchun ishonchli antivirus vositasini o'rnating.
4. Hech qachon notanish odamlardan yoki siz ishlamaydigan kompaniyalardan kelgan elektron pochta xabarlarini ochmang.
5. Microsoft tomonidan taqdim etilgan ko'rsatmalar yordamida SMBv1 ni o'chiring.

Tadqiqotchi WannaCry hujumi paytida olingan skrinshotlarni ko'rsatadi. Siz Wanna Decrypt0r oynasini, shuningdek, tizimni yuqtirganingizdan va undagi barcha fayllarni shifrlaganingizdan so'ng ish stoli foni sifatida WannaCry tomonidan o'rnatilgan tasvirni ko'rishingiz mumkin.
1-usul. (Xavfsiz rejim)
"Tarmoq bilan xavfsiz rejim" ni tanlang. 1-usul. (Xavfsiz rejim)
"Tarmoq bilan xavfsiz rejimni yoqish" -ni tanlang.

"Buyruqlar satri bilan xavfsiz rejim" ni tanlang. 2-usul (tizimni tiklash)
"Buyruqlar satri bilan xavfsiz rejimni yoqish" -ni tanlang.
2-usul (tizimni tiklash)
Qo'shtirnoqsiz "CD tiklash" ni kiriting va "Enter" tugmasini bosing.
2-usul (tizimni tiklash)
"rstrui.exe" ni tirnoqsiz kiriting va "Enter" tugmasini bosing.
2-usul (tizimni tiklash)
Ko'rsatilgan "Tizimni tiklash" oynasida "Keyingi" ni tanlang.
2-usul (tizimni tiklash)
Qayta tiklash nuqtasini tanlang va "Keyingi" tugmasini bosing.
2-usul (tizimni tiklash)
"Ha" tugmasini bosing va tizimni tiklashni boshlang ⇦ ⇨

Slayd 1 dan 10

WannaCry versiyalari

Virus fayllarni xavfsiz qulflash uchun AES-128 kriptografik shifridan foydalanadi, ularning nomlariga .wcry fayl kengaytmasini qo‘shadi va taqdim etilgan virtual hamyonga 0,1 Bitcoin o‘tkazishni so‘raydi. Zararli dastur dastlab spam elektron pochta orqali tarqatilgan; Biroq, bu o'ziga xos virus o'z ishlab chiquvchilari uchun katta daromad keltirmadi. Ushbu to'lov dasturi tomonidan shifrlangan fayllar shifrni hal qilish kalitisiz tiklanib bo'lmaydigan bo'lib chiqqaniga qaramay, ishlab chiquvchilar zararli dasturni yangilashga qaror qilishdi.

WannaCrypt0r ransomware virusi. Bu ransomware yangilangan versiyasining boshqa nomi. Yangi versiya asosiy hujum vektori sifatida Windows zaifliklarini nishonga oladi va bir necha soniya ichida tizimda saqlangan barcha fayllarni shifrlaydi. Infektsiyalangan fayllar asl fayl nomidan keyin darhol fayl nomiga qo'shilgan kengaytmalar orqali tan olinishi mumkin - .wncry, wncryt yoki .wcry.

Zaxira nusxalarisiz yoki ma'lumotlarni shifrlash jarayonida yaratilgan shaxsiy kalitsiz shikastlangan ma'lumotlarni qayta tiklashning hech qanday usuli yo'q. Virus odatda 300 dollar talab qiladi, garchi qurbon uch kun ichida pulni to'lamasa, to'lov narxini 600 dollargacha oshiradi.

Ransomware virusi WannaDecrypt0r. WannaDecrypt0r - virus maqsadli tizimga muvaffaqiyatli infiltratsiya qilinganidan keyin ishlaydigan dastur. Tadqiqotchilar qurbonlarga yaqinlashayotgan Wanna Decryptor 1.0 va Wanna Decryptor 2.0 versiyalarini allaqachon payqashdi.

Zararli dastur uning narxi maksimal darajaga yetguncha to‘lovni to‘lash uchun qancha vaqt qolganligini ko‘rsatadigan teskari sanash soatini, shuningdek, virus kompyuterdan barcha ma’lumotlarni o‘chirib tashlaguncha qancha vaqt qolganini ko‘rsatadigan xuddi shunday ortga hisoblash soatini ko‘rsatadi. Ushbu versiya 2017-yil 12-may kuni virtual hamjamiyatni hayratda qoldirdi, biroq bir necha kundan keyin uni MalwareTech nomi bilan atalgan xavfsizlik tadqiqotchisi to‘xtatdi.