Чтобы защитить свои данные от вирусов шифровальщиков Petya.A и Wanna Cry специалисты в области безопасности разобрались как происходит заражение и предложили свои рекомендации:
- обязательно должен быть установлен патч безопасности — MS17-010
- Обязательное отключение протокола SMBv1
- Cоздание пустого файла «perfc» (без расширения) в папке C:\Windows
Первый — закрывает уязвимoсть в операционной системе Windows
Второй — отключает использование устаревшего протокола SMB версии 1 (использовался в версия Windows XP, Servr 2003 и ниже. Начиная с Windows Vista и выше протокол версии 1 уже не используется!!)
Третий — создаёт специальный файл «perfc» в папке Windows, который даёт понят вирусу Petya.A что этот компьютер уже заражён (когда вирус попадает на компьютер, он проверяет заражён этот компьютер или нет!!)
Всё это можно проделать руками, как описано , а можно процесс полуавтоматизировать с помощью бесплатной программки Driver Pack Solution . Единственное, что на версиях выше Windows 8, в этой программе Вы сможете пофиксить только от вируса Patya.A, тоесть, выполнить только третий пункт. Первый и второй Вам придётся проверить и проделать вручную. На Windows 7 всё намного проще.
Итак, сначала пользователям Windows 7 (полуавтоматический).
UPD!!
Данный вариант подходит одиночным компьютерам, без подключения к локальной сети, так как отключается полный доступ к сетевым устройствам — компьютерам в локальной сети, расшареным принтерам.. Тоесть вы пинговать их сможете, но подключиться на их общие папки и общие принтеры будет невозможно, ровным счётом как и на ваши принтеры и папки!!!
Не доверяете программам — переходите к ручным настройкам (см. ниже)!!
Скачиваем маленькую программу Driver Pack Solution Online с официального сайта , бесплатна и всегда обновляется, всегда актуальная версия. Запускаем, ждём проверки конфигурации, и видим:
Как я выше написал, будем устанавливать полуавтоматически, тоесть выбирать сами, что нам ставить, поэтому жмём внизу кнопку «режим эксперта», мы же эксперты, правда ж?)
Нас интересует второй значок слева в столбике
Система проверила и показала нам, что нужно пофиксить, а что уже исправлено
Игнорируем большую зелёную кнопку «Установить необходимые программы» и жмём напротив первого пункта справа кнопку «Установить»
Если нет кнопки, а есть зелёная галочка и текст «Установлено» значит вам никаких операций проделывать не нужно.
Дожидаемся установки, возвращаемся в то же меню и ставим остальные два пункта.
Пользователям Windows 7 (ручной способ).
Чтобы отключить протокол SMBv1 на сервере с Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008 используйте Windows PowerShell 2.0 или новее версию!
Чтобы выключить протокол SMBv1 на сервере, запустите этот командлет:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
После этого, нужно будет перезагрузить компьютер.
Что делать пользователям с Windows 8 и выше?
Проделываем те же операции что и пользователи Windows 7, но у вас в окошке установки обновлений и фиксов, будет только фикс от вируса Petya.A
Для выполнения следующих пунктов — установки патча безопасности — MS17-010 и отключения протокола SMBv1 необходимо проделать следующее.
Скачиваем для проверки какие обновления установлены у вас.
Выбираем что проверить — свой компьютер localhost
выбираем файл своей операционной системы со списком рекомендуемых обновлений
Если после проверки вы видите такую картинку, то нужные обновления установлены и протокол SMBv1 закрыт.
Если так, то необходимые на сегодняшний день действия по защите от вируса Wanna Cry и Petya.A проделаны. Если же столбики КВ и SMBv1 красные то делаем следующее.
Переходим на страницу Поверка установки MS17-010 находим свою версию системы и смотрим, какие номера обновлений нужно установить!! P.S. Бывает вся таблица не видна на экранах 1280Х1024 px, тогда уменьшаем масштаб страницы сайта до 80% (жмём Ctrl и крутим колёсиком мышки).
Для минимума нужно установить обновления для своей операционки хотя бы из первого столбика таблицы
Для этого открываем Каталог Центра обновления Майкрософт и находим своё обновление. Например:
Скачиваем, устанавливаем, ещё раз проверяем Security Cheker-ом
Следующим шагом будет проверка и отключение протокола SMBv1 на стороне клиента и сервера.
Для этого в системах с Windows 8 и выше проделываем следующее:
открываем Windows Power Shell и с помощью следующей команды проверим включен ли протокол SMB1
Get-SmbServerConfiguration
Как видим протокол включён — значение переменной EnableSMB1Protocol = True.
Отключаем поддержку протокола следующей командой в Power Shell
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
И снова с помощью первой команды убеждаемся что протокол SMBv1 выключен:
Таким образом мы отключили протокол SMBv1 на стороне сервера, но чтобы полностью обезопасить систему, нужно отключить протокол и на стороне клиента. Для этого в том же Power Shell или обычной командной строке выполняем две следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Перезагружаемся и всё, вероятность того, что к вам попадёт вирус Wanna Cry или Petya.A уменьшился в разы. Почему не 100%? На момент написания статьи 100% решения специалисты ещё не нашли, пока только рекомендации. Но по мере появления новой информации и методов защиты буду обновлять этот пост.
Filed in: , Tags: ,Related Posts
По всему миру с 12 мая. Этот шифровальщик проникает в операционные системы компьютеров при скачивании файла из интернета. Когда компьютер получает такой вирус, WannaCry шифрует различные файлы — фото, музыку, фильмы, текстовые документы, презентации, архиваторы и т.п. Злоумышленники вымогают за расшифровку 300 долларов. Как бороться с этим вирусом-шифровальщиком?
Michael Stern, CC BY-SA 2.0, part from original.
В «Лаборатории Касперского» заявляют, что наиболее уязвимыми к атаке оказались компьютеры, на которых не были установлены обновления программ и имелся пиратский софт.
1 Как работает вирус Wanna Cry?
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе — Microsoft Security Bulletin MS17−010, существование которой было ранее неизвестно.
2 Как распространяется вирус WannaCry?
Вирус WannaCry распространяется через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.
3 На что нужно обращать внимание, чтобы не заразить компьютер вирусом WannaCry?
Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe , .vbs и .scr . Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ(например, avi.exe или doc.scr ), пишет ru24.top.
Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: «В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall(межсетевой экран), через которое идет заражение». Для обнаружения потенциально вредоносных файлов нужно включить опцию «Показывать расширения файлов» в настройках Windows.
4 Что предприняла компания Microsoft, чтобы защитить OC Windows от вируса WannaCry?
Microsoft уже выпустила «заплатку» — достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows — при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии, сообщает Rorki.ru.
5 Простейшие способы защиты от вируса WannaCry
Чтобы не «поймать» на свой компьютер вирус WannaCry, нужно следовать нескольким простым правилам безопасности:
- вовремя осуществлять обновление системы — все зараженные ПК не были обновлены,
- пользоваться лицензионной ОС,
- не открывать сомнительные электронные письма,
- не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия.
6 Что нужно делать, если вы «поймали» вирус WannaCry на свой компьютер?
Всем привет! Совсем недавно, интернет взволновало событие, от которого пострадали компьютеры многих компаний и частных пользователей. Всему виной появившийся вирус Wanna Cry, который за короткое время молниеносно проник и заразил огромное количество компьютеров в разных странах мира. На данный момент распространение вируса снизилось, но не остановилось полностью. Из-за этого, пользователи периодически попадаются в его ловушку и не знают, что делать, так как не все антивирусные программы способны его обезвредить. По предварительным данным, атаке подверглись более 200 тысяч компьютеров по всему миру. Вирус Wanna Cry по праву можно считать самой серьезной угрозой текущего года, и возможно ваш компьютер будет следующим на его пути. Поэтому, давайте подробно рассмотрим, как данный вредоносный код распространяется и каким образом можно с ним бороться.
«Вона край», так еще называют Российские пользователи данный вирус, относится к виду вредоносного ПО, которое поселяется на компьютере как троян и начинает вымогать деньги у пользователя ПК. Принцип его работы такой: на рабочем столе компьютера появляется баннер, который блокирует всю работу пользователя и предлагает ему отправить платное СМС сообщение, чтобы убрать блокировку. Если пользователь откажется платить деньги, информация на компьютере будет зашифрована без возможности восстановления. Как правило, если не предпринять никаких действий, можно попрощаться со всей информацией, хранящейся на жестком диске.
По сути, вирус Wanna Cry можно отнести к группе вирусов, блокеров-вымогателей, которые периодически треплют нервы многим юзерам.
Как работает новый вредитель?
Попадая на компьютер, вона край быстро шифрует информацию, находящуюся на жестком диске.
После этого, на рабочем столе появляется специальное сообщение, в котором пользователю предлагается заплатить 300 американских долларов, за то, чтобы программа расшифровала файлы. Если пользователь будет долго думать, и деньги не поступят на специальный электронный кошелек Bitcoin, то сумма выкупа удвоится и придется выложить уже 600 долларов, что на наши деньги около 34000 тысяч рублей, приличная сумма, неправда ли?
По прошествии семи дней, если пользователь не отправит вознаграждение для расшифровки файлов, эти файлы будут удалены вымогателем без возможности восстановления.
Вирус Wanna Cry умеет работать практически со всеми современными типами файлов. Вот малый список расширений, которые находятся в зоне риска: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.
Как видите, в этом небольшом списке, есть все популярные файлы, которые способен зашифровать вирус.
Кто же создатель вируса Wanna Cry?
По информации агентства национальной безопасности Соединенных Штатов Америки ранее был обнаружен программный код под названием «Eternal Blue», правда информация о данном коде была скрыта, для использования в личных интересах. Уже в апреле текущего года, сообщество хакеров обнародовало информацию о данном эксплойте.
Скорее всего, создатель вона край использовал данный код для написания очень эффективного вируса. На данный момент, еще не установлено, кто является главным автором вымогателя.
Как распространяется и попадает на компьютер вирус Wanna Cry?
Если вы еще не попались в ловушку вируса Wanna Cry, то будьте внимательны. Распространяется он, чаще всего, посредством электронных писем с вложениями.
Представим такую ситуацию! Вам приходит электронное сообщение, возможно, даже от известного вам пользователя, которое содержит аудиозапись, видео клип либо фото, открыв письмо пользователь с радостью кликает по вложению, не замечая тот факт, что файл имеет расширение exe. То есть по сути, юзер сам запускает установку программы, в следствии чего происходит инфицирование файлов компьютера и при помощи вредоносного кода происходит загрузка вируса, который шифрует данные.
Обратите внимание! Заразить компьютер блокером «вона край» вы можете и при скачивании файлов с торрент-трекеров или же получив личное сообщение в социальных сетях или мессенджерах.
Как обезопасить компьютер от вируса Wanna Cry?
Наверное, в вашей голове возник резонный вопрос: «Как защититься от вируса Wanna Cry?»
Здесь я вам могу предложить несколько основных способов:
- Так как разработчики Майкрософт всерьез взволновались от действий вируса, то незамедлительно выпустили обновление для всех версий операционной системы Windows. Поэтому, чтобы обезопасить свой ПК от данного вредителя, необходимо в срочном порядке скачать и установить заплатку системы безопасности;
- Внимательно следите за тем, какие письма вам приходят на email. Если вам пришло письмо с вложением, даже от знакомого вам адресата, то обратите внимание на расширение файла. Ни при каких обстоятельствах, не открывайте скаченные файлы с расширением вида: .exe; .vbs; .scr . Так же расширение может быть замаскировано и иметь такой вид: avi.exe; doc.scr ;
- Чтобы не попасться в лапы вируса, в настройках операционной системы включите показ расширений файлов. Это позволит вам видеть, какой тип файлов вы пытаетесь запустить. Так же будет хорошо видно, тип замаскированных файлов;
- Установка, даже самого л скорее всего не спасет ситуацию, так как вирус использует уязвимости операционной системы для доступа к файлам. Поэтому, первым делом, установите все обновления для Windows, а уже после ставьте ;
- Если есть возможность, перенесите все важные данные на внешний жесткий диск. Это обезопасит вас от потери информации;
- Если фортуна повернулась к вам пятой точкой, и вы попали под действие вируса Wanna Cry, то для того, чтобы от него избавиться переустановите операционную систему;
- Держите вирусные базы ваших установленных антивирусов в актуальном состоянии;
- Рекомендую скачать и установить бесплатную утилиту Kaspersky Anti-Ransom ware. Данная утилита позволяет в режиме реального времени, защитить компьютер от различных блокеров-вымогателей.
Патч Windows от Wanna Cry, чтобы компьютер не болел.
Если на ваш компьютер установлена операционная система:
- Windows XP;
- Windows 8;
- Windows Server 2003;
- Windows Embedded
Установите данный патч, скачать вы его можете по ссылке на официальном сайте Майкрософт.
Для всех остальных версий операционной системы Windows, достаточно будет установить все доступные обновления. Как раз с этими обновлениями вы закроете дыры в системе безопасности Windows.
Удаляем вирус Wanna Cry.
Для того, чтобы удалить вымогатель «вона край», попробуйте воспользоваться одной из самых лучших утилит удаления вредоносных программ.
Обратите внимание! После работы антивирусной программы, зашифрованные файлы не будут дешифрованы. И скорее всего вам придется их удалить.
Есть ли возможность самостоятельно расшифровать файлы после Wanna Cry.
Как правило, блокеры-вымогатели, к которым относится наш «вона край» шифруют файлы с применением ключей 128 и 256 бит. При этом, ключ для каждого компьютера уникален и не повторяется нигде. Поэтому, если попытаться расшифровать такие данные в домашних условиях, то вам понадобится не одна сотня лет.
На данный момент, в природе не существует ни одного дешифратора Wanna Cry. Следовательно, ни один пользователь не сможет расшифровать файлы после работы вируса. Поэтому, если вы еще не стали его жертвой, рекомендую позаботиться о безопасности своего компьютера, если же вам не повезло, то есть несколько вариантов решения проблемы:
- Заплатить выкуп. Здесь вы отдаете деньги на свой страх и риск. Так как вам никто не гарантирует, что после того как вы отправите деньги, программа сможет обратно расшифровать все файлы;
- Если вирус не обошел стороной ваш компьютер, то можно просто отключить жесткий диск и положить его на дальнюю полку до лучших времен, когда появится дешифратор. На данный момент, его не существует, но вероятнее всего, он появится в скором будущем. Хочу вам сказать по секрету, что дешифраторы разрабатывает Лаборатория Касперского и выкладывает на сайт No Ramsom;
- Для пользователей лицензионного антивируса Касперского, существует возможность подать заявку на расшифровку файлов, которые зашифровал вирус Wanna Cry;
- Если на жестком диске ПК нет ничего важного, то смело его форматируйте и устанавливайте чистую операционную систему;
Вирус Wanna Cry в России.
Представляю график, на котором отлично видно, что самое большое количество компьютеров попало под действие вируса на территории Российской Федерации.
Вероятнее всего, это произошло от того, что российские пользователи не особо любят покупать лицензионное ПО и чаще всего используют пиратские копии операционной системы Windows. Из-за этого, система не обновляется, и остается очень уязвимой для вирусов.
Не обошел стороной такие компьютеры и вирус Wanna Cry. Рекомендую устанавливать лицензионную версию операционной системы, а также не выключать автоматическое обновление.
Кстати, не только компьютеры частных пользователей пострадали от блокера «вона край», но и государственные организации такие как: МВД, МЧС, Центробанк, а также крупные частные компании такие как: оператор сотовой связи «Мегафон», «Сбербанк России» и «РЖД».
Как я уже говорил выше, от проникновения вируса, можно было уберечься. Так еще в марте текущего года, компания Майкрософт выпустила обновления системы безопасности Windows. Правда не все пользователи его установили, из-за чего и попали в ловушку.
Если вы используете старую версию операционной системы, то непременно скачайте и установите патч, о котором я вам писал в пункте выше.
Подведем итоги.
В сегодняшней статье мы с вами поговорили о новом вирусе Wanna Cry. Я постарался максимально подробно рассказать, что из себя представляет данный вредитель и как можно от него уберечься. Так же теперь вы знаете где можно скачать патч, который закроет дыры в системе безопасности Windows.
Компьютерный вирус под оригинальным названием Wanna Crypt (хочу зашифровать) и подходящим сокращенным именем WannaCry (хочу плакать) заблокировал десятки тысяч компьютеров по всему миру 12 мая 2017 года. Уже на следующий день эпидемия была остановлена. Однако разработчики вируса внесли изменения в код, и миллионы компьютеров с операционной системой Windows снова оказались под ударом.
Вирус шифрует файлы и требует выкуп в размере $300. Жертвы уже перечислили десятки тысяч долларов, но сведений о расшифровке пока нет. В любом случае, лучше предотвратить заражение и возможные последствия, чем пытаться спасти информацию после атаки.
1. Установите обновления Windows
Скачайте по адресу https://technet.microsoft.com/library/security/MS17-010 и установите «заплатку» для защиты от WannaCry. В компании Microsoft считают это настолько важным, что выпустили версию даже для Windows XP (поддержка которой была прекращена в 2014 году).
Кроме того, уязвимость, на которой основаны атаки WannaCry, была закрыта в регулярном обновлении Windows еще в марте. Обновите Windows.
2. Сделайте резервные копии важных файлов
Сохраните свои рабочие и личные файлы. Можно скопировать их на внешний жесткий диск или флешку, закачать в «облако», выложить на FTP-сервер, отправить почтой самому себе, коллеге или другу. Только не запишите поверх недавно сохраненных «чистых» файлов их зашифрованные версии. Используйте другие носители. Пусть лучше будет две копии, чем ни одной.
3. Закройте порты 139 и 445
Звучит как фраза из фильма про хакеров, но это не так сложно. И очень полезно, потому что обезопасит ваш компьютер от WannaCry. Нужно сделать следующее:
- Открыть Брандмауэр Windows (Firewall) – например, через «Сетевые подключения»;
- Выбрать пункт «Дополнительные параметры» (Advanced Settings);
- Найти «Правила для входящих подключений» (Inbound rules) – посередине экрана, чуть пролистав вниз;
- Дальше, начиная с главного меню: «Действие / Создать правило... / Для порта / Определенные локальные порты – 139 / Блокировать подключение» (Action / New rule... / Port / Specified local ports – 139 / Block the connection);
- аналогично для порта 445.
4. Найдите сетевого администратора или «погуглите» сами
Главное уже сделано, вы в относительной безопасности. Нужно еще заблокировать SMB v1, инспектировать настройки VPN, проверить систему на вирусы. В принципе все это реально сделать самостоятельно. Но будет проще и надежнее найти специалистов.
5. Если не можете выполнить хотя бы пп.1-2 – выключите компьютер
Если по каким-то причинам вы не смогли установить «заплатку» от Microsoft, обновить Windows и сохранить важные файлы на внешних носителях – лучше выключить компьютер. Просто обесточить, чтобы у вируса не было шансов разрушить ваши цифровые активы. В крайнем случае, хотя бы отключите доступ к Интернету.
Дождитесь прихода специалистов, выпуска дешифратора, специальных версий антивирусов «в один клик». Это не займет много времени, а сэкономит годы труда, затраченные на создание всех тех файлов, которые сейчас под угрозой.
Вирус Wanna Cry – новый вид хакерской атаки, вредоносная программа-вымогатель заставил содрогнуться пользователей ПК и Интернета по всему миру. Как работает вирус Wanna Cry, можно ли от него защититься, и если можно, то – как?
Вирус Wanna Cry, описание – вид вредоносного ПО, относящееся к категории RansomWare , программа-вымогатель. При попадании на жесткий диск жертвы, Wanna Cry действует по сценарию своих «коллег», таких как TrojanRansom.Win32.zip , шифруя все персональные данные всех известных расширений. При попытке просмотра файла пользователь видит на экране требование заплатить n-ную сумму денег, якобы после этого злоумышленник вышлет инструкцию по разблокировке.
Зачастую вымогательство денег осуществляется с помощью СМС-пополнения специально созданного счета, но в последнее время для этого используется сервис анонимных платежей BitCoin .
Вирус Wanna Cry – как работает. Wanna Cry представляет собой программу под названием WanaCrypt0r 2.0 , которая атакует исключительно ПК на OC Windows. Программа использует для проникновения «дыру» в системе - Microsoft Security Bulletin MS17-010 , существование которой было ранее неизвестно. На данный момент доподлинно неизвестно, как хакеры обнаружили уязвимость MS17-010. Бытует версия о диверсии производителей противовирусного ПО для поддержания спроса, но, конечно, никто не списывает со счетов интеллект самих хакеров.
Как это ни печально, распространение вируса Wanna Cry осуществляется простейшим способом – через электронную почту. Открыв письмо со спамом, запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.
Вирус Wanna Cry – как защититься, лечение. WanaCrypt0r 2.0 использует при атаке уязвимости в сетевых службах Windows. Известно, что Microsoft уже выпустила «заплатку» - достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows – при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии.
Защититься от Wanna Cry можно, соблюдая несколько простых правил:
- вовремя осуществлять обновление системы –все зараженные ПК не были обновлены
- пользоваться лицензионной ОС
- не открывать сомнительные электронные письма
- не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия
Как сообщают СМИ, производители антивирусного ПО будут выпускать обновления для борьбы с Wanna Cry, так что обновление антивируса также не стоит откладывать в долгий ящик.
