WannaCry — вирус шифровальщик
WannaCry — вирус шифровальщик, поразивший множество компьютеров по всему миру, в результате атаки, запущенной 12 мая 2017 года. От действий вируса шифровальщика Wanna Decryptor пострадали многие известные компании и обычные пользователи.
Вирус вымогатель известен под следующими именами: WannaCry (Wanna Cry — «хочу плакать»), Wanna Decrypt0r, WCry, Wanna Crypt, Wana Decrypt0r). В результате действий вируса, происходит шифрование многих файлов на компьютере, в том числе системных. После того, как файлы будут зашифрованы, пользователь увидит заставку, на которой ему сообщают, что файлы на компьютере зашифрованы, а за расшифровку данных требуют заплатить деньги.
Период времени для перевода денег хакерам ограничен, в случае невыполнения условий вымогателей, все зашифрованные данные будут удалены с компьютера.
В отличие от поведения обычных вирусов-вымогателей, для заражения Windows от пользователя не требуется никаких действий. WCry попадает на компьютер разными способами: локально, как обычный вирус (во вложении в электронном письме, вместе с другой программой и т. п.), или самостоятельно распространяясь по сети.
На борьбу с опасной малварью, помимо аналитиков антивирусных лабораторий, включились отдельные энтузиасты.
Благодаря британскому исследователю MalwareTech удалось временно приостановить распространение эпидемии. Он успел вовремя зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (имя домена было зашито в коде вредоносной программы), который остановил распространение вируса Wana Decrypt0r.
Программист из Таиланда Чанвит Кеокаси создал программу блокиратор вируса Wanna Cry, которую можно скачать из GitHab по этой ссылке.
Специалист компании Quarkslab Адриен Гине нашел способ расшифровки файлов, который работает только в Windows XP.
Появились новые модифицированные версии вредоносной программы, созданные другими хакерами, которые решили воспользоваться сложившейся ситуацией. Появился имитатор вируса Adylkuzz, который обнаружить намного труднее. Малварь Adylkuzz использует эту же уязвимость ОС Windows для майнинга (заработок денег, используя ресурсы другого компьютера).
Как распространяется WannaCry
В операционной системе Windows существовала уязвимость в протоколе SMB, которую в свое время обнаружило Агентство Национальной Безопасности (АНБ) США. АНБ использовало найденную брешь в своих целях. Корпорация Microsoft не знала о наличии данной проблемы с безопасностью в операционной системе Windows.
Хакерская группа The Shadow Brokers смогла похитить у АНБ эксплойты EternalBlue и DoublePulsar, которые были опубликованы в свободном доступе. На основе выкраденных эксплойтов, злоумышленниками была создана программа, которая использует данную уязвимость в операционной системе.
Вирус сканирует в интернете компьютеры на наличие открытого порта 445, который используется для совместной работы с файлами. После проникновения на компьютер, программа Wanna Decryptor, шифрует файлы, заменяя расширения файлов на «.wncry». Шифрование осуществляется по комбинации алгоритмов AES-128 и RSA, в данный момент, расшифровка файлов затруднена.
Затем на экран монитора выводится сообщение с требованием выкупа на языке операционной системы (всего поддерживается 28 языков, в том числе русский язык).
За разблокировку злоумышленники требуют определенную сумму в биткоинах, в эквиваленте 300-600 долларов. Если в течение 3 дней денежные средства не будут выплачены, сумма выкупа удваивается, а через 7 дней все зашифрованные данные будут удалены с компьютера. Вредоносная программа выполняет команды, поступающие из серверов через анонимную сеть Tor.
Узнав об этой проблеме, 14 марта 2017 года Microsoft выпустила патч MS17-010, который закрывает брешь в безопасности, эксплуатируемый хакерами.
Как защититься от Wanna Cry
Защита от вируса WannaCry существует, для этого пользователю необходимо выполнить некоторые действия.
Для распространения вирус Wanna Crypt использует открытый порт 445. Поэтому первое, что нужно сделать: проверьте, закрыт данный порт или нет. Проще всего это сделать с помощью онлайн сервиса, например, здесь.
Введите номер порта (445) в поле для проверки. Посмотрите на результат проверки (закрыт порт или открыт).
Если порт на компьютере открыт, запустите командную строку от имени администратора. В окне интерпретатора командной строки введите следующую команду:
sc stop lanmanserver
Далее нажмите на клавишу «Enter».
Для Windows 10 введите команду:
sc config lanmanserver start=disabled
Для других версий Windows введите команду:
sc config lanmanserver start= disabled
Затем нажмите на «Enter», а после этого перезагрузите компьютер.
Если на компьютере включена автоматическая установка обновлений для операционной системы Windows, то это значит, что обновление безопасности было своевременно установлено на компьютер. Если автоматическое обновление на компьютере отключено, самостоятельно загрузите и установите заплатку MS17-010, которая воспрепятствует проникновению вируса на компьютер.
Перейдите на страницу официального сайта Microsoft. Скачайте патч MS17-010 версии Windows, установленной на компьютере, соответствующей разрядности. Из-за серьезности проблемы, выпустила патчи для операционных систем: Windows XP, Windows Vista, Windows Serwer 2003, Windows 8, поддержка которых была в свое время прекращена.
После установки обновления безопасности, перезагрузите компьютер. Установите все последние обновления безопасности.
Большинство антивирусов своевременно обнаруживают вирус Wanna Ransomware. Защитник Windows (Windows Defender) также надежно защищает компьютер от программы-вымогателя. Обратите внимание на то, что, если вы случайно самостоятельно запустите шифровальщика, патч не спасет ваш компьютер от заражения. Для удаления вируса с компьютера, необходима проверка антивирусом.
Маршрутизаторы, при настройках по умолчанию, не дадут вирусу использовать 445 порт на домашнем компьютере. Заражение возможно по локальной сети провайдера.
Способы избежать заражения Wanna Decrypt0r
На большинстве пострадавших компьютеров стояли пиратские версии Windows, на которых было отключено автоматическое обновление из-за опасений слета регистрации операционной системы. Подавляющая часть обновлений Windows являются обновлениями безопасности, которые закрывают обнаруженные уязвимости в операционной системе.
С помощью средства системы или специализированных программ регулярно выполняйте резервное копирование Windows и важных данных на компьютере. Храните резервные копии на внешнем жестком диске, который не подключен постоянно к компьютеру, или в облачном хранилище.
В случае возникновения проблем, вы сможете восстановить систему и пользовательские файлы.
Платные антивирусы, как правило, имеют большее количество компонентов для защиты компьютера. У многих ведущих производителей есть бесплатные версии антивирусов (Avast Free Antivirus, Kaspersky Free и т. д.), которые можно использовать для защиты ПК от вредоносного ПО.
В письмах часто скрывается опасность (вредоносные ссылки, зараженные файлы и архивы и т. п.), поэтому проявляйте разумные меры предосторожности при работе с электронной почтой.
Выводы статьи
Вирус-шифровальщик WannaCry заражает компьютеры, используя уязвимость Windows. Для того, чтобы избежать заражения, необходимо установить в операционную систему патч MS17-010.
…отследить от куда угроза, и что об этом не могут, тот же бред, что и сама угроза…
Василий, спасибо! Предупрежден, значит вооружен. Отличная статья.
Теперь буду осторожнее с электронной почтой.
Спасибо за статью, Василий! Не слишком оперативно, но очень доступно. Тем, кто не знал об этой проблеме — безусловно будет полезно!
Рад снова видеть сайтик. Поздравляю с возвращением. Я же говорил, что всё будет хорошо. И читатели подтянутся до прежнего количества, со временем.
Сергей, спасибо. Надеюсь, что все вернется в обычное состояние.
Не такое уж и множество на самом деле и сами виноваты, что обновления безопасности не ставили, как полагается. Любишь виндовс использовать — люби и за обновлениями следить.
Кстати, у большинства обычных пользователей всё равно ведь порт 445 закрыт на стороне провайдера и WannaCry не сможет им никак навредить.
Спасибо, Василий. Порт закрыт.
Спасибо.
Я в компьютерах (в технической части) разбираюсь не так сильно, как мой муж, но всегда стараюсь вовремя ставить все обновления на своем ноутбуке)
На официальном сайте Майкрософт нет патча под ХР.
Для не поддерживающихся в Microsoft операционных систем, нужно установить обновление KB4012598: