Θέλεις ιόςΗ κραυγή βρόντηξε σε όλο τον κόσμο στις 12 Μαΐου, αυτή την ημέρα πολλοί άνθρωποι ανακοίνωσαν ότι τα δίκτυά τους είχαν μολυνθεί ιατρικά ιδρύματαΣτο Ηνωμένο Βασίλειο, η Ισπανική Εταιρεία Τηλεπικοινωνιών και το Ρωσικό Υπουργείο Εσωτερικών ανέφεραν τον προβληματισμό επίθεση χάκερ.

Το WannaCry (οι απλοί άνθρωποι το έχουν ήδη αποκαλέσει το παρατσούκλι Vaughn's Land) ανήκει στην κατηγορία των ιών κρυπτογράφησης (cryptors), οι οποίοι, όταν χτυπήσει έναν υπολογιστή, κρυπτογραφούν αρχεία χρήστηΑλγόριθμος ανθεκτικός στην κρυπτογράφηση, στη συνέχεια - η ανάγνωση αυτών των αρχείων καθίσταται αδύνατη.

Επί αυτή τη στιγμή, οι ακόλουθες δημοφιλείς επεκτάσεις αρχείων είναι γνωστό ότι υπόκεινται σε κρυπτογράφηση WannaCry:

1. Δημοφιλή αρχεία το γραφείο της Microsoft(.xlsx, .xls, .docx, .doc).
2. Αρχεία και αρχεία πολυμέσων (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - πώς εξαπλώνεται ο ιός

Νωρίτερα, αναφέραμε αυτήν τη μέθοδο εξάπλωσης ιών σε ένα άρθρο σχετικά, οπότε αυτό δεν είναι κάτι καινούργιο.

Επί Γραμματοκιβώτιοο χρήστης λαμβάνει ένα γράμμα με ένα "ακίνδυνο" συνημμένο - μπορεί να είναι εικόνα, βίντεο, τραγούδι, αλλά αντί για την τυπική επέκταση για αυτές τις μορφές, το συνημμένο θα έχει μια εκτελέσιμη επέκταση αρχείου - exe. Όταν ένα τέτοιο αρχείο ανοίγει και εκκινείται, το σύστημα «μολύνεται» και, μέσω μιας ευπάθειας, ένας ιός φορτώνεται απευθείας στο λειτουργικό σύστημα Windows, κρυπτογραφώντας τα δεδομένα χρήστη.

Ίσως δεν είναι η μόνη μέθοδοςΔιανομή WannaCry – μπορείτε να γίνετε θύμα κατεβάζοντας «μολυσμένα» αρχεία από στα κοινωνικά δίκτυα, torrent trackers και άλλες τοποθεσίες.

WannaCry – πώς να προστατευτείτε από τον ιό ransomware

1. Εγκαταστήστε την ενημερωμένη έκδοση κώδικα για Microsoft Windows. 14 Μαΐου εταιρεία Microsoftέχει κυκλοφορήσει μια ενημέρωση κώδικα έκτακτης ανάγκης για τις ακόλουθες εκδόσεις – Vista, 7, 8.1, 10, Windows Server. Μπορείτε να εγκαταστήσετε αυτήν την ενημέρωση κώδικα απλά εκτελώντας μια ενημέρωση συστήματος μέσω της υπηρεσίας Windows Update.

2. Χρήση λογισμικού προστασίας από ιούς με ενημερωμένες βάσεις δεδομένων. Γνωστοί προγραμματιστές λογισμικού ασφαλείας, όπως οι Kaspersky, Dr.Web, έχουν ήδη κυκλοφορήσει μια ενημέρωση για τα προϊόντα τους που περιέχει πληροφορίες για το WannaCry, προστατεύοντας έτσι τους χρήστες τους.

3. Αποθηκεύστε σημαντικά δεδομένα σε ξεχωριστό μέσο. Εάν ο υπολογιστής σας δεν το υποστηρίζει ακόμα, μπορείτε να εξοικονομήσετε τα μέγιστα σημαντικά αρχείασε ξεχωριστό μέσο (μονάδα flash, δίσκος). Με αυτήν την προσέγγιση, ακόμα κι αν γίνεις θύμα, θα γλιτώσεις τα περισσότερα πολύτιμα αρχείααπό κρυπτογράφηση.

Αυτή τη στιγμή είναι όλα γνωστά αποτελεσματικούς τρόπουςπροστασία από το WannaCry.

WannaCry decryptor, πού να κατεβάσετε και είναι δυνατόν να αφαιρέσετε τον ιό;

Οι ιοί ransomware ανήκουν στην κατηγορία των πιο «άχαρων» ιών, γιατί... Στις περισσότερες περιπτώσεις, τα αρχεία χρήστη κρυπτογραφούνται με κλειδί 128 bit ή 256 bit. Το χειρότερο είναι ότι σε κάθε περίπτωση το κλειδί είναι μοναδικό και η αποκρυπτογράφηση του καθενός απαιτεί τεράστια υπολογιστική ισχύς, γεγονός που καθιστά σχεδόν αδύνατη τη μεταχείριση των «απλών» χρηστών.

Τι γίνεται όμως αν γίνετε θύμα του WannaCry και χρειάζεστε έναν αποκρυπτογραφητή;

1. Επικοινωνήστε με το φόρουμ υποστήριξης της Kaspersky Lab - https://forum.kaspersky.com/ με μια περιγραφή του προβλήματος. Το φόρουμ στελεχώνεται τόσο από εκπροσώπους εταιρειών όσο και από εθελοντές που βοηθούν ενεργά στην επίλυση προβλημάτων.

2. Όπως στην περίπτωση του διάσημος κρυπτογράφος CryptXXX - βρέθηκε μια καθολική λύση για την αποκρυπτογράφηση αρχείων που έχουν κρυπτογραφηθεί. Από Ανίχνευση WannaCryδεν πέρασε πάνω από μια εβδομάδα και οι ειδικοί από εργαστήρια προστασίας από ιούςΔεν έχουμε βρει ακόμη μια τέτοια λύση για αυτό.

3. Η βασική λύση θα είναι - πλήρης αφαίρεση OS από υπολογιστή ακολουθούμενο από καθαρή εγκατάστασηνέος. Σε αυτήν την περίπτωση, όλα τα αρχεία και τα δεδομένα χρήστη χάνονται εντελώς, μαζί με την αφαίρεση του WannaCry.

Εάν ο υπολογιστής σας ή πολλές συσκευές ταυτόχρονα στο σπίτι σας ή δίκτυο εργασίαςχτύπησε Ιός Wannacry– διαβάστε το άρθρο μας.

Εδώ θα μάθετε πώς να προστατεύεστε και να αποτρέπετε μόλυνση, καθώς και πώς να αποκρυπτογραφείτε σωστά τα κρυπτογραφημένα δεδομένα.

Η σημασία αυτής της γνώσης επιβεβαιώνεται από πληροφορίες για περισσότερους από 150 χιλιάδες υπολογιστές που μολύνθηκαν το 2017, το λειτουργικό σύστημα των οποίων είχε μολυνθεί με κακόβουλος κωδικός WC.

Και, παρόλο που η παγκόσμια εξάπλωση της απειλής έχει σταματήσει, είναι πιθανό η επόμενη έκδοση του ransomware να γίνει ακόμη πιο αποτελεσματική και αξίζει να προετοιμαστείτε για την εμφάνισή του εκ των προτέρων.

Περιεχόμενα:

Συνέπειες

Τα πρώτα σημάδια μόλυνσης του υπολογιστή με ιό ransomware ανακαλύφθηκαν στις 12 Μαΐου 2017, Οταν άγνωστο πρόγραμμαπαρενέβη στο έργο χιλιάδων χρηστών και εκατοντάδων διαφορετικών οργανισμών σε όλο τον κόσμο.

Ο κακόβουλος κώδικας άρχισε να εξαπλώνεται στις 8:00 π.μ. και μέσα στην πρώτη ημέρα μόλυνε περισσότερους από 50 χιλιάδες υπολογιστές.

Οι περισσότερες μολύνσεις σημειώθηκαν στο - αν και τα πρώτα στοιχεία προέρχονταν από το Ηνωμένο Βασίλειο, και μεταξύ των οργανισμών που επλήγησαν ήταν ισπανικές και πορτογαλικές εταιρείες τηλεπικοινωνιών, ακόμη και αυτοκινητοβιομηχανία "Renault".

Στη Ρωσία επιτέθηκε σε χειριστές κινητές επικοινωνίες "Μεγάφωνο", "Συντομότερη οδός"Και "Ιώτα", Υπουργείο καταστάσεις έκτακτης ανάγκης, Υπουργείο Εσωτερικών και Διοίκησης σιδηροδρόμων.

Εξαιτίας αυτού, οι εξετάσεις για άδεια οδήγησης ακυρώθηκαν σε ορισμένες περιοχές της χώρας και ορισμένοι οργανισμοί ανέστειλαν προσωρινά τις εργασίες τους.

Καταχώρηση ονόματος τομέα γραμμένου στον κωδικό ιού, κατέστησε δυνατή την αναχαίτιση της εξάπλωσής της. Μετά από αυτό, το πρόγραμμα δεν μπορούσε πλέον να έχει πρόσβαση σε έναν συγκεκριμένο τομέα και δεν λειτουργούσε. Είναι αλήθεια, μόνο πριν την αποφοίτηση νέα έκδοση, όπου θεραπεία από συγκεκριμένη διεύθυνση.

Απαιτήσεις προγραμματιστών κακόβουλου λογισμικού

Αποτέλεσμα της μόλυνσης των υπολογιστών ήταν ο αποκλεισμός της πλειονότητας όσων επέβαιναν σε αυτούς. σκληροι ΔΙΣΚΟΙαρχεία.

Λόγω της αδυναμίας χρήσης των πληροφοριών, οι χρήστες μετέφρασαν ακόμη και το όνομα της εφαρμογής WannaCry ως "Θέλω να κλάψω", αλλά όχι "Θέλω να κρυπτογραφήσω" (Θέλω να κλάψω ptor), όπως ήταν στην πραγματικότητα.

Όμως, δεδομένου ότι τα μη αποκρυπτογραφημένα αρχεία πιθανότατα δεν μπορούσαν να ανακτηθούν, προσαρμοσμένη επιλογήφαινόταν πιο κατάλληλο.

Τα Windows εμφανίστηκαν στην επιφάνεια εργασίας του μολυσμένου υπολογιστή με απαιτήσεις να πληρώσουν τους απατεώνες για να ξεκλειδώσουν πληροφορίες.

Στην αρχή, οι επιτιθέμενοι ζήτησαν μόνο 300 δολάρια, μετά από λίγο το ποσό αυξήθηκε στα 500 δολάρια - και μετά την πληρωμή δεν υπήρχε εγγύηση ότι η επίθεση δεν θα επαναληφθεί - επειδή ο υπολογιστής ήταν ακόμα μολυσμένος.

Αν όμως αρνηθήκατε να πληρώσετε, τα κρυπτογραφημένα δεδομένα χάθηκαν 12 ώρες μετά την εμφάνιση της προειδοποίησης.

Μέθοδοι διάδοσης της απειλής

Οι προγραμματιστές του κακόβουλου λογισμικού το χρησιμοποίησαν για να μολύνουν υπολογιστές με Ευπάθεια των Windowsαυτό το λειτουργικό σύστημα, το οποίο έκλεισε με την ενημέρωση MS17-010.

Τα θύματα ήταν κυρίως οι χρήστες που δεν εγκατέστησαν αυτήν την ενημέρωση κώδικα τον Μάρτιο του 2017.

Μετά την εγκατάσταση (χειροκίνητη ή αυτόματη) την ενημέρωση απομακρυσμένη πρόσβασηστον υπολογιστή ήταν κλειστός.

Ταυτόχρονα, η ενημερωμένη έκδοση κώδικα του Μαρτίου δεν προστατεύει πλήρως το λειτουργικό σύστημα. Ειδικά αν ο χρήστης το ανοίξει μόνος του - έτσι εξαπλώνεται και ο ιός.

Και αφού μόλυνε έναν υπολογιστή, ο ιός συνέχισε να εξαπλώνεται αναζητώντας τρωτά σημεία - για το λόγο αυτό, οι πιο ευάλωτοι δεν ήταν μεμονωμένοι χρήστες, αλλά μεγάλες εταιρείες.

Πρόληψη μόλυνσης

Παρά τον σοβαρό κίνδυνο να περάσει ένας ιός (και οι νέες εκδόσεις του) σε σχεδόν οποιονδήποτε υπολογιστή, υπάρχουν διάφοροι τρόποι για να αποφύγετε τη μόλυνση του συστήματός σας.

Για να γίνει αυτό, θα πρέπει να ληφθούν τα ακόλουθα μέτρα:

• φροντίστε να εγκαταστήσετε πιο πρόσφατες διορθώσειςασφάλεια και αν λείπουν, προσθέστε τα με μη αυτόματο τρόπο. Μετά από αυτό, φροντίστε να ενεργοποιήσετε αυτόματη ενημέρωση– πιθανότατα, αυτή η επιλογή ήταν απενεργοποιημένη.

• Μην ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα από άγνωστους χρήστες.
• Μην κάνετε κλικ σε ύποπτους συνδέσμους – ειδικά εάν το πρόγραμμα προστασίας από ιούς προειδοποιεί για τον κίνδυνο.
• καθιερώσει την ποιότητα πρόγραμμα προστασίας από ιούς– για παράδειγμα, ή , το ποσοστό ανίχνευσης του Bath Edge που έχει το μέγιστο. Τα περισσότερα από τα λιγότερο γνωστά και ιδιαίτερα δωρεάν εφαρμογέςΠροστατέψτε την πλατφόρμα χειρότερα.

• Μετά τη μόλυνση, αποσυνδέστε αμέσως τον υπολογιστή σας από το Διαδίκτυο και, ειδικά, από τοπικό δίκτυο, προστατεύοντας άλλες συσκευές από τη διάδοση ransomware.

Επιπλέον, ο χρήστης θα πρέπει να αποθηκεύει περιοδικά σημαντικά δεδομένα δημιουργώντας αντίγραφα ασφαλείας.

Εάν είναι δυνατόν, αξίζει να αντιγράψετε πληροφορίες σε μονάδες flash USB, κάρτες μνήμης ή όχι (εξωτερική ή αφαιρούμενη εσωτερική).

Εάν είναι δυνατή η ανάκτηση πληροφοριών, η ζημιά από τον ιό θα είναι ελάχιστη - εάν ένας υπολογιστής έχει μολυνθεί, αρκεί απλώς να διαμορφώσετε τη συσκευή αποθήκευσης.

Θεραπεία μολυσμένου Η/Υ

Εάν ο υπολογιστής είναι ήδη μολυσμένος, ο χρήστης θα πρέπει να προσπαθήσει να τον θεραπεύσει, απαλλαγώντας από τις συνέπειες Δράσεις WannaCry.

Μετά από όλα, μετά πρόγραμμα για ιούςμπήκε στο σύστημα, συμβαίνει με μια αλλαγή στις επεκτάσεις τους.

Όταν προσπαθεί να ξεκινήσει εφαρμογές ή να ανοίξει έγγραφα, ο χρήστης αποτυγχάνει, αναγκάζοντάς τον να σκεφτεί να λύσει το πρόβλημα πληρώνοντας τα απαιτούμενα $500.

Βασικός στάδια επίλυσης προβλημάτων:

1 Έναρξη υπηρεσιών ενσωματωμένων στο λειτουργικό σύστημα Windows.Ευκαιρία για θετικό αποτέλεσμασε αυτή την περίπτωση είναι μικρό, οπότε πιθανότατα θα πρέπει να χρησιμοποιήσετε άλλες επιλογές.

2 Επανεγκατάσταση του συστήματος.Σε αυτήν την περίπτωση, θα πρέπει να μορφοποιήσετε τα πάντα - είναι πιθανό να χαθούν όλες οι πληροφορίες.

3 Μεταβείτε στην αποκρυπτογράφηση δεδομένων– αυτή η επιλογή χρησιμοποιείται εάν υπάρχουν σημαντικά δεδομένα στο δίσκο.

4 Διαδικασία ανάκτησης αρχείωνξεκινά με τη λήψη των κατάλληλων ενημερώσεων και την αποσύνδεση από το Διαδίκτυο. Μετά από αυτό ο χρήστης πρέπει να τρέξει γραμμή εντολών(διά μέσου "Αρχή"και τμήμα "Πρότυπο"ή μέσω του μενού "Τρέξιμο"και ) και μπλοκάρει τη θύρα 445, εμποδίζοντας τη διαδρομή εισόδου του ιού. Αυτό μπορεί να γίνει εισάγοντας την εντολή netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

5 Ακολουθεί τώρα τρέξιμο .Για να το κάνετε αυτό, κρατήστε πατημένο το πλήκτρο κατά τη φόρτωση F8για να μεταβείτε στο μενού εκκίνησης του υπολογιστή και να επιλέξετε το κατάλληλο στοιχείο. Σε αυτήν τη λειτουργία, ένας φάκελος με κακόβουλος κώδικας, το οποίο βρίσκεται χρησιμοποιώντας τη συντόμευση για ιούς που εμφανίζεται στην επιφάνεια εργασίας. Αφού διαγράψετε όλα τα αρχεία στον κατάλογο, πρέπει να επανεκκινήσετε το σύστημα και να ενεργοποιήσετε ξανά το Διαδίκτυο.

Αποκρυπτογράφηση αρχείων

Μετά τη διακοπή του WannaCry, ο χρήστης πρέπει να επαναφέρει όλα τα κρυπτογραφημένα αρχεία.

Αξίζει να σημειωθεί ότι τώρα υπάρχει πολύ περισσότερος χρόνος για αυτό από 12 ώρες - επομένως, εάν δεν μπορείτε να επιστρέψετε τα δεδομένα μόνοι σας, μπορείτε να επικοινωνήσετε με ειδικούς σε λίγες μέρες ή μήνες.

Η καλύτερη επιλογή – ανάκτηση δεδομένων από αντίγραφα ασφαλείας. Εάν ο χρήστης δεν προέβλεψε την πιθανότητα μόλυνσης και δεν αντέγραψε σημαντικά δεδομένα, θα πρέπει να κάνετε λήψη ενός προγράμματος αποκρυπτογράφησης:

• Shadow Explorer, ο οποίος βασίζεται στην επαναφορά «σκιωδών» αντιγράφων αρχείων (κυρίως εγγράφων).

Ρύζι. 6. Εκκίνηση του προγράμματος

Εικ.9. Λειτουργία του προγράμματος Windows Data Recovery.

Ρύζι. 10. Ανάκτηση αρχείων μέσω του προγράμματος με 1 κλικ

• βοηθητικά προγράμματα που παράγονται από την Kaspersky Lab ειδικά για την επαναφορά κρυπτογραφημένων πληροφοριών.

Ρύζι. 11. Εκκινήστε το βοηθητικό πρόγραμμα

Εικ. 12. Διαδικασία αποκατάστασης δεδομένων

Θα πρέπει να γνωρίζετε:Το πρόγραμμα θα πρέπει να ξεκινήσει μόνο αφού αφαιρεθεί ο ίδιος ο ιός. Εάν δεν μπορείτε να σταματήσετε το Vanna Edge, δεν πρέπει να χρησιμοποιήσετε τον αποκωδικοποιητή.

WannaCrypt (που μεταφράζεται σε "θέλω να κλάψω") - ΙΟΣ υπολογιστη, χτυπήθηκε στις 12 Μαΐου 2017 ένας μεγάλος αριθμός απόυπολογιστές με λειτουργικό σύστημα συστήματα της Microsoft Windows. Αυτή η ευπάθεια επηρεάζει υπολογιστές με λειτουργικά συστήματα Windows από XP έως Windows 10 και Server 2016. Ο ιός επηρέασε υπολογιστές ιδιωτών, εμπορικούς οργανισμούς και κρατικές υπηρεσίες σε όλο τον κόσμο. Το WannaCrypt χρησιμοποιείται ως μέσο εκβίασης κεφαλαίων.

Ποιος βρίσκεται πίσω από αυτό ή η προέλευση του ιού

Η ακριβής προέλευση του ιού δεν έχει εξακριβωθεί αυτή τη στιγμή. Αλλά ο συντάκτης μας μπόρεσε να βρει τις 3 πιο βασικές εκδόσεις.

1. Ρώσοι χάκερ

Ναι, φίλοι, πώς μπορεί κανείς να μην παρακάμψει έναν τόσο ηχηρό ιό χωρίς τους αγαπημένους σε όλους «Ρώσους χάκερ». Το περιστατικό μπορεί να σχετίζεται με πρόσφατες προειδοποιήσεις από τον όμιλο Shadow Brokers εναντίον του προέδρου των ΗΠΑ Ντόναλντ Τραμπ μετά την έγκρισή του χτυπήματα πυραύλωνστη Συρία.

2. Υπηρεσίες πληροφοριών των ΗΠΑ

Στις 15 Μαΐου, ο Ρώσος πρόεδρος Βλαντιμίρ Πούτιν κατονόμασε τις υπηρεσίες πληροφοριών των ΗΠΑ ως την πηγή του ιού και είπε ότι «η Ρωσία δεν έχει καμία απολύτως σχέση με αυτό». Οδηγός Microsoftδήλωσε επίσης ότι η κύρια πηγή αυτού του ιού είναι οι υπηρεσίες πληροφοριών των ΗΠΑ.

3. Κυβέρνηση της ΛΔΚ

Εκπρόσωποι των εταιρειών προστασίας από ιούς Symantec και Kaspersky Lab δήλωσαν ότι εγκληματίες στον κυβερνοχώρο που συνδέονται με την Πιονγκγιάνγκ από την ομάδα συμμετείχαν σε επιθέσεις στον κυβερνοχώρο χρησιμοποιώντας τον ιό WanaCrypt0r 2.0, ο οποίος μόλυνε χιλιάδες υπολογιστές σε 150 χώρες.

Το WannaCry κρυπτογραφεί τα περισσότερα ή ακόμα και όλα τα αρχεία στον υπολογιστή σας. Επειτα λογισμικόεμφανίζεται στην οθόνη του υπολογιστή συγκεκριμένο μήνυμαπου απαιτεί λύτρα 300 $ για την αποκρυπτογράφηση των αρχείων σας. Η πληρωμή πρέπει να γίνει στις Bitcoin πορτοφόλι. Εάν ο χρήστης δεν πληρώσει τα λύτρα εντός 3 ημερών, το ποσό διπλασιάζεται στα 600 $. Μετά από 7 ημέρες, ο ιός θα διαγράψει όλα τα κρυπτογραφημένα αρχεία και όλα τα δεδομένα σας θα χαθούν.

Η Symantec δημοσίευσε μια λίστα με όλους τους τύπους αρχείων που μπορεί να κρυπτογραφήσει το Wanna Cry. Αυτή η λίστα περιλαμβάνει ΟΛΕΣ τις δημοφιλείς μορφές αρχείων, συμπεριλαμβανομένων των .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, 3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. και τα λοιπά.

Τρόποι προστασίας από τον ιό

Προς το παρόν το μοναδικό αποτελεσματική μέθοδοςΗ προστασία από έναν ιό συνίσταται στην ενημέρωση του λειτουργικού συστήματος, ειδικότερα, στο κλείσιμο της ευπάθειας που εκμεταλλεύεται το WannaCry.

Μέθοδος προστασίας:

1. Ενημέρωση συστήματος

Ενεργοποιήστε τις αυτόματες ενημερώσεις συστήματος στο Κέντρο Ενημερώσεις των Windowsστον υπολογιστή σου.

2. Αντίγραφα ασφαλείας

Κάνω αντιγράφων ασφαλείας σημαντικές πληροφορίεςκαι χρήση πλατφόρμες cloudγια την αποθήκευσή του.

Εγκαθιστώ δωρεάν βοηθητικό πρόγραμμαγια προστασία από ransomware Kaspersky Anti-Ransomware.

4. Θύρα 445

Αποκλείστε όλες τις αλληλεπιδράσεις στη θύρα 445, τόσο σε τερματικούς σταθμούς όσο και σε εξοπλισμό δικτύου.

Για Windows 10

Netsh advfirewall add κανόνα dir=in action=block protocol=TCP localport=135 name="Block_TCP-135" netsh advfirewall firewall add κανόνα dir=in action=block protocol=TCP localport=445 name="Block_TCP-445" echo " Thx, Abu"

Για Windows 7

Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Τύπος DWORD -Τιμή 0 -Force

Αν υπήρξε μηδενική αντίδραση στην εντολή, τότε έτσι θα έπρεπε να είναι. Αυτή είναι φυσιολογική συμπεριφορά. Υποδεικνύει ότι η εντολή έχει εφαρμοστεί

Αντιμετωπίστε τον υπολογιστή σας για ιούς

1. Ενεργοποιήστε λειτουργία ασφαλείας Windows

Στα Windows 7, αυτό μπορεί να γίνει κατά την επανεκκίνηση του συστήματος αφού πατήσετε το πλήκτρο F8.

2. Αφαιρέστε ανεπιθύμητες εφαρμογές.

Μπορείτε να απεγκαταστήσετε μόνοι σας ανεπιθύμητες εφαρμογές μέσω της απεγκατάστασης προγραμμάτων.

3. Ανάκτηση κρυπτογραφημένων αρχείων.

Για να επαναφέρετε αρχεία, μπορείτε να χρησιμοποιήσετε διάφορους αποκρυπτογραφητές και βοηθητικά προγράμματα.

συμπέρασμα

Έτσι, σήμερα μιλήσαμε για τον ιό Wanna Cry. Μάθαμε τι είναι αυτός ο ιός, πώς να προστατευτείτε από μόλυνση, πώς να αφαιρέσετε τον ιό. Αναμφίβολα αυτό ο ιός θα μπειστην ιστορία και θα μείνουν στη μνήμη πολλών. Αν και η μόλυνση από τον ιό υποχωρεί, η κλίμακα όλων είναι απλά εκπληκτική. Ελπίζω να βρήκατε αυτό το άρθρο χρήσιμο.

Στα ρωσικά Wanna Cry - το νέο είδοςεπίθεση χάκερ, κακόβουλο λογισμικό- ransomware, έκανε τους χρήστες υπολογιστών και διαδικτύου σε όλο τον κόσμο να ανατριχιάσουν. Πώς λειτουργεί ο ιός Wanna Cry, είναι δυνατόν να προστατευτείτε από αυτόν και αν ναι, πώς;

12 Μαΐου, οι υπολογιστές σε λειτουργία λειτουργικά συστήματαΤα Windows σε όλο τον κόσμο υπέστησαν τη μεγαλύτερη επίθεση στην ιστορία Πρόσφατα. Μιλάμε για τον ιό Wanna Cry (WNCRY, Wana Decrypt0r 2.0), που ανήκει στην κατηγορία Ransomware, δηλαδή κακόβουλο ransomware που κρυπτογραφεί τα αρχεία των χρηστών και απαιτεί λύτρα για να επαναφέρει την πρόσβαση σε αυτά. ΣΕ σε αυτήν την περίπτωσηΜιλάμε για ποσά από $300 έως $600, τα οποία το θύμα πρέπει να μεταφέρει σε συγκεκριμένο πορτοφόλι σε bitcoins. Το μέγεθος των λύτρων εξαρτάται από το χρόνο που έχει περάσει από τη στιγμή της μόλυνσης - μετά από ένα ορισμένο διάστημα αυξάνεται.

Η επίθεση ransomware έχει ακρωτηριάσει πολλές εταιρείες και οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένης της ισπανικής εταιρείας τηλεπικοινωνιών Telefonica, νοσοκομείων στο Ηνωμένο Βασίλειο και της αμερικανικής εταιρείας διανομής FedEx. Το κύριο χτύπημα έπεσε Ρώσοι χρήστεςκαι εταιρείες. Αυτή τη στιγμή, το WannaCry κατάφερε να μολύνει περίπου 57.000 υπολογιστές, μεταξύ των οποίων εταιρικά δίκτυαΥπουργείο Εσωτερικών, Ρωσικοί Σιδηροδρόμοι και Megafon. Η Sberbank και το Υπουργείο Υγείας ανέφεραν επίσης επιθέσεις στα συστήματά τους.

Εξάπλωση του ιού Wanna Cry

Για να αποφύγετε την ένταξη στις τάξεις εκείνων των οποίων οι υπολογιστές έχουν μολυνθεί, είναι απαραίτητο να κατανοήσετε πώς το κακόβουλο λογισμικό διεισδύει στο σύστημα. Ένας υπολογιστής έχει μολυνθεί χρησιμοποιώντας μια ευπάθεια στο Πρωτόκολλο SMB, επιτρέποντάς σας να εκτελείτε εξ αποστάσεως κώδικα προγράμματος. Βασίζεται στο EternalBlue exploit, που δημιουργήθηκε εντός των τειχών του Οργανισμού Εθνική ασφάλειαΗΠΑ (NSA) και διατίθεται στο κοινό από χάκερ.

Το αρχικό αρχείο mssecsvc.exe εκκινεί ένα άλλο αρχείο που ονομάζεται tasksche.exe. Στη συνέχεια ελέγχεται ο τομέας μεταγωγής και δημιουργείται η υπηρεσία mssecsvc2.0. Αυτή η υπηρεσία εκτελεί το αρχείο mssecsvc.exe με διαφορετικό σημείο εισόδου σε σχέση με την πρώτη εκκίνησή του. Η δεύτερη εκτέλεση λαμβάνει τη διεύθυνση IP του μολυσμένου μηχανήματος και προσπαθεί να συνδεθεί στο 445 Θύρα TCPκάθε διεύθυνση IP εντός του υποδικτύου. Όταν το κακόβουλο λογισμικό συνδεθεί με επιτυχία στο απομακρυσμένο μηχάνημα, δημιουργείται μια σύνδεση και μεταφέρονται δεδομένα. Προφανώς, κάπου σε αυτήν τη διαδικασία μεταφοράς γίνεται εκμετάλλευση μιας γνωστής ευπάθειας, η οποία διορθώθηκε από την ενημέρωση MS 17-010. Προς το παρόν, δεν υπάρχει πλήρης κατανόηση της κίνησης SMB και υπό ποιες συνθήκες μπορεί να εξαπλωθεί κακόβουλο λογισμικό χρησιμοποιώντας μια τρύπα ασφαλείας.

Το αρχείο tasksche.exe ελέγχει όλες τις μονάδες δίσκου, καθώς και τους φακέλους που είναι κοινόχρηστοι στο δίκτυο και τις συνδεδεμένες συσκευές που σχετίζονται με γράμματα όπως «C:/», «D:/» κ.λπ. Στη συνέχεια, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις που παρατίθενται στο πρόγραμμα (και δίνονται παρακάτω) και τα κρυπτογραφεί χρησιμοποιώντας 2048-bit Κρυπτογράφηση RSA. Ενώ τα αρχεία κρυπτογραφούνται, δημιουργείται ένας φάκελος «Tor/», όπου τοποθετούνται το αρχείο tor.exe και 9 dll αρχείαπου χρησιμοποιεί. Επιπλέον, δημιουργούνται τα taskdl.exe και taskse.exe. Το πρώτο αφαιρεί προσωρινά αρχεία, και το δεύτερο τρέχει @ [email προστατευμένο], το οποίο εμφανίζει στον χρήστη ένα παράθυρο που του ζητά να πληρώσει. Αρχείο @ [email προστατευμένο]είναι υπεύθυνος μόνο για την εμφάνιση του μηνύματος. Η κρυπτογράφηση αρχείων πραγματοποιείται στο παρασκήνιο χρησιμοποιώντας το tasksche.exe.

Το αρχείο tor.exe εκκινείται χρησιμοποιώντας το @ [email προστατευμένο]. Αυτό νέα διαδικασίαξεκινά τη σύνδεση με τους κόμβους Tor. Με αυτόν τον τρόπο, το WannaCry διατηρεί την ανωνυμία στέλνοντας όλη του την κίνηση μέσω του δικτύου Tor.

Όπως είναι τυπικό για το ransomware, το πρόγραμμα αφαιρεί επίσης οποιοδήποτε σκιώδη αντίγραφαστον υπολογιστή του θύματος για να γίνει ακόμη πιο δύσκολη η ανάκτηση. Αυτό γίνεται χρησιμοποιώντας τα WMIC.exe, vssadmin.exe και cmd.exe

Χρήσεις WannaCry διάφορους τρόπουςγια να βοηθήσετε την απόδοσή σας. Έτσι χρησιμοποιείται από το attrib.exe για να αλλάξει τη σημαία +h (απόκρυψη) και επίσης από το icacls.exe για να δώσει πλήρη δικαιώματαπρος όλους τους χρήστες: «icacls. /grant Everyone:F /T /C /Q."

Αξίζει να σημειωθεί ότι το πρόγραμμα έχει αρθρωτή αρχιτεκτονική. Είναι πιθανό ότι όλα τα εκτελέσιμα αρχεία είναι γραμμένα σε αυτό διαφορετικοί άνθρωποι. Αυτό θα μπορούσε ενδεχομένως να σημαίνει ότι η δομή του προγράμματος θα μπορούσε να επιτρέψει την εκκίνηση διαφόρων κακόβουλων σεναρίων.

Αφού ολοκληρωθεί η κρυπτογράφηση, το κακόβουλο λογισμικό εμφανίζει ένα παράθυρο που απαιτεί λύτρα για τα αρχεία. Ενδιαφέρον σημείοείναι ότι το παράθυρο είναι εκτελέσιμο αρχείο, όχι εικόνα, αρχείο HTA ή αρχείο κειμένου.

Τα θύματα πρέπει να καταλάβουν ότι κανείς δεν εγγυάται ότι μετά την πληρωμή των λύτρων η συσκευή δεν θα είναι πλέον παράλυτη.

Τι πρέπει να κάνετε τώρα για να αποφύγετε τη μόλυνση.

1. Διόρθωση του προβλήματος EternalBlue Microsoft Corporationεισήχθη στο Δελτίο MS17-010 με ημερομηνία 14 Μαρτίου 2017.

Επομένως, το πρώτο και κύριο μέτρο προστασίας από το WannaCry θα πρέπει να είναι η εγκατάσταση αυτής της ενημέρωσης ασφαλείας για τα Windows.

Είναι ακριβώς το γεγονός ότι πολλοί χρήστες και διαχειριστές συστήματοςδεν το έχουν κάνει ακόμη, και ήταν ο λόγος για κάτι τέτοιο επίθεση μεγάλης κλίμακας, η ζημιά από την οποία δεν έχει ακόμη εκτιμηθεί. Είναι αλήθεια ότι η ενημέρωση έχει σχεδιαστεί για αυτούς εκδόσεις των Windows, η υποστήριξη για την οποία δεν έχει ακόμη σταματήσει. Εξαιτίας υψηλό επίπεδοαπειλές Η Microsoft έχει επίσης κυκλοφορήσει ενημερώσεις για λειτουργικά συστήματα παλαιού τύπου όπως τα Windows XP, Windows 8 και Windows Server 2003. Κάντε λήψη τους.

2. Για να ελαχιστοποιήσετε την απειλή, είναι απαραίτητο να εγκαταστήσετε επειγόντως τα πάντα Τελευταίες ενημερώσεις Windows OS: Έναρξη - Όλα τα προγράμματα - Windows Update - Αναζήτηση ενημερώσεων - Λήψη και εγκατάσταση.

3. Οποιοσδήποτε οργανισμός έχει δημόσια πρόσβαση σε SMB (θύρες 139, 445) θα πρέπει να αποκλείσει αμέσως την εισερχόμενη κίνηση.

4. Δεν πρέπει να ξεχνάμε την τακτική αντιγράφων ασφαλείαςσημαντικά δεδομένα. Λάβετε υπόψη ότι το WannaCry στοχεύει τις ακόλουθες κατηγορίες αρχείων:

• Το συνηθέστερο έγγραφα γραφείου(.ppt, .doc, .docx, .xlsx, .sxi).
• ορισμένοι λιγότερο δημοφιλείς τύποι εγγράφων (.sxw, .odt, .hwp).
• αρχεία και αρχεία πολυμέσων (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• αρχεία email (.eml, .msg, .ost, .pst, .edb).
• βάσεις δεδομένων (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• αρχεία έργου και πηγαίους κώδικες(.php, .java, .cpp, .pas, .asm).
• κλειδιά κρυπτογράφησης και πιστοποιητικά (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• μορφές γραφικών (.vsd, .odg, .raw, .nef, .svg, .psd).
• αρχεία εικονικές μηχανές(.vmx, .vmdk, .vdi).

5. Μπορεί να φτάσει κακόβουλο λογισμικό μέσω ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ. Το θύμα λαμβάνει τη μόλυνση κάνοντας κλικ στο κακόβουλο συνημμένο. Τις περισσότερες φορές μιλάμε για αρχεία με επεκτάσεις js και exe, καθώς και έγγραφα με κακόβουλες μακροεντολές (για παράδειγμα, Αρχεία της MicrosoftΛέξη). Επομένως, σας συνιστούμε να είστε προσεκτικοί σχετικά με τις αποστολές που έρχονται μέσω email και άλλων καναλιών.

6. Βεβαιωθείτε ότι χρησιμοποιείτε ένα ενημερωμένο πρόγραμμα προστασίας από ιούς στη λειτουργία παρακολούθησης και, εάν είναι δυνατόν, ελέγξτε το σύστημα για απειλές. Το μόνο antivirus που εντοπίζει τον ιό: ESET NOD32. Εάν εντοπιστεί και εξαλειφθεί η δραστηριότητα MEM:Trojan.Win64.EquationDrug.gen, επανεκκινήστε το σύστημα και, στη συνέχεια, βεβαιωθείτε ότι είναι εγκατεστημένο το MS17-010. Επί αυτή τη στιγμήΟκτώ ονόματα του ιού είναι γνωστά:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

Ακόμα κι αν το σύστημα δεν ενημερώθηκε και το WannaCry μπήκε στον υπολογιστή, τόσο οι εταιρικές όσο και οι οικιακές λύσεις ESET NOD32 εντοπίζουν και αποκλείουν με επιτυχία όλες τις τροποποιήσεις του.

ΥΣΤΕΡΟΓΡΑΦΟ:Εάν η μόλυνση δεν μπορούσε να αποφευχθεί, δεν μπορείτε ακόμα να πληρώσετε τους εισβολείς. Πρώτον, ακόμη και αν μεταφερθούν χρήματα στο καθορισμένο πορτοφόλι Bitcoin, κανείς δεν εγγυάται την αποκρυπτογράφηση των αρχείων. Δεύτερον, δεν μπορείτε να είστε σίγουροι ότι μια επίθεση στον ίδιο υπολογιστή δεν θα επαναληφθεί και ότι οι εγκληματίες του κυβερνοχώρου δεν θα απαιτήσουν μεγάλο ποσό λύτρων. Και τέλος, τρίτον, η πληρωμή για την «υπηρεσία» ξεμπλοκαρίσματος θα ανταμείψει όσους ασκούν εγκληματικές δραστηριότητες στο Διαδίκτυο και θα τους χρησιμεύσει ως κίνητρο για να πραγματοποιήσουν νέες επιθέσεις.

14/05/2017 28/05/2017 από Βλαντ

Ο ιός Wanna Cry είναι ένας νέος τύπος επίθεσης χάκερ, ένα κακόβουλο πρόγραμμα ransomware που έχει συγκλονίσει τους χρήστες υπολογιστών και Διαδικτύου σε όλο τον κόσμο. Πώς λειτουργεί ο ιός Wanna Cry, είναι δυνατόν να προστατευτείτε από αυτόν και αν ναι, πώς;

12 Μαΐου, οι υπολογιστές σε λειτουργία συστήματα Windowsσε όλο τον κόσμο υποβλήθηκαν στη μεγαλύτερη επίθεση των τελευταίων ετών. Μιλάμε για τον ιό Wanna Cry (WNCRY, Wana Decrypt0r 2.0), που ανήκει στην κατηγορία Ransomware, δηλαδή κακόβουλο ransomware που κρυπτογραφεί τα αρχεία των χρηστών και απαιτεί λύτρα για να επαναφέρει την πρόσβαση σε αυτά. Σε αυτή την περίπτωση, μιλάμε για ποσά από 300 έως 600 δολάρια, τα οποία το θύμα πρέπει να μεταφέρει σε συγκεκριμένο πορτοφόλι σε bitcoin. Το μέγεθος των λύτρων εξαρτάται από το χρόνο που έχει περάσει από τη μόλυνση - μετά από ένα ορισμένο διάστημα αυξάνεται.

Η επίθεση ransomware έχει ακρωτηριάσει πολλές εταιρείες και οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένης της ισπανικής εταιρείας τηλεπικοινωνιών Telefonica, νοσοκομείων στο Ηνωμένο Βασίλειο και της αμερικανικής εταιρείας διανομής FedEx. Το κύριο πλήγμα έπεσε στους Ρώσους χρήστες και εταιρείες. Αυτή τη στιγμή, το WannaCry κατάφερε να μολύνει περίπου 57.000 υπολογιστές, συμπεριλαμβανομένων των εταιρικών δικτύων του Υπουργείου Εσωτερικών, των Ρωσικών Σιδηροδρόμων και της Megafon. Η Sberbank και το Υπουργείο Υγείας ανέφεραν επίσης επιθέσεις στα συστήματά τους.

Εξάπλωση του ιού Wanna Cry

Για να αποφύγετε την ένταξη στις τάξεις εκείνων των οποίων οι υπολογιστές έχουν μολυνθεί, είναι απαραίτητο να κατανοήσετε πώς το κακόβουλο λογισμικό διεισδύει στο σύστημα. Ο υπολογιστής έχει μολυνθεί χρησιμοποιώντας μια ευπάθεια στο πρωτόκολλο SMB, η οποία επιτρέπει την απομακρυσμένη εκτέλεση του κώδικα προγράμματος. Βασίζεται στο EternalBlue exploit, που δημιουργήθηκε εντός των τειχών της Υπηρεσίας Εθνικής Ασφάλειας των ΗΠΑ (NSA) και δημοσιοποιήθηκε από χάκερ.

Το αρχικό αρχείο mssecsvc.exe εκκινεί ένα άλλο αρχείο που ονομάζεται tasksche.exe. Στη συνέχεια ελέγχεται ο τομέας μεταγωγής και δημιουργείται η υπηρεσία mssecsvc2.0. Αυτή η υπηρεσία εκτελεί το αρχείο mssecsvc.exe με διαφορετικό σημείο εισόδου σε σχέση με την πρώτη εκκίνησή του. Η δεύτερη εκτέλεση λαμβάνει τη διεύθυνση IP του μολυσμένου μηχανήματος και προσπαθεί να συνδεθεί στη θύρα TCP 445 κάθε διεύθυνσης IP εντός του υποδικτύου. Όταν το κακόβουλο λογισμικό συνδεθεί με επιτυχία στο απομακρυσμένο μηχάνημα, δημιουργείται μια σύνδεση και μεταφέρονται δεδομένα. Προφανώς, κάπου σε αυτήν τη διαδικασία μεταφοράς γίνεται εκμετάλλευση μιας γνωστής ευπάθειας, η οποία διορθώθηκε από την ενημέρωση MS 17-010. Προς το παρόν, δεν υπάρχει πλήρης κατανόηση της κίνησης SMB και υπό ποιες συνθήκες μπορεί να εξαπλωθεί κακόβουλο λογισμικό χρησιμοποιώντας μια τρύπα ασφαλείας.

Το αρχείο tasksche.exe ελέγχει όλες τις μονάδες δίσκου, καθώς και τους φακέλους που είναι κοινόχρηστοι στο δίκτυο και τις συνδεδεμένες συσκευές που σχετίζονται με γράμματα όπως «C:/», «D:/» κ.λπ. Στη συνέχεια, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις που παρατίθενται στο πρόγραμμα (και δίνονται παρακάτω) και τα κρυπτογραφεί χρησιμοποιώντας κρυπτογράφηση RSA 2048-bit. Ενώ τα αρχεία κρυπτογραφούνται, δημιουργείται ένας φάκελος «Tor/», όπου τοποθετούνται το αρχείο tor.exe και τα 9 αρχεία dll που χρησιμοποιεί. Επιπλέον, δημιουργούνται τα taskdl.exe και taskse.exe. Το πρώτο διαγράφει προσωρινά αρχεία και το δεύτερο τρέχει @ [email προστατευμένο], το οποίο εμφανίζει στον χρήστη ένα παράθυρο που του ζητά να πληρώσει. Αρχείο @ [email προστατευμένο]είναι υπεύθυνος μόνο για την εμφάνιση του μηνύματος. Η κρυπτογράφηση αρχείων πραγματοποιείται στο παρασκήνιο χρησιμοποιώντας το tasksche.exe.

Το αρχείο tor.exe εκκινείται χρησιμοποιώντας το @ [email προστατευμένο]. Αυτή η νέα διαδικασία αρχίζει να συνδέεται με τους κόμβους Tor. Με αυτόν τον τρόπο, το WannaCry διατηρεί την ανωνυμία στέλνοντας όλη του την κίνηση μέσω του δικτύου Tor.

Όπως είναι τυπικό με το ransomware, το πρόγραμμα διαγράφει επίσης τυχόν σκιώδη αντίγραφα στον υπολογιστή του θύματος για να κάνει την ανάκτηση ακόμα πιο δύσκολη. Αυτό γίνεται χρησιμοποιώντας τα WMIC.exe, vssadmin.exe και cmd.exe

Το WannaCry χρησιμοποιεί διάφορες μεθόδους για να βοηθήσει στην εκτέλεσή του. Αυτός είναι ο τρόπος με τον οποίο χρησιμοποιείται από το attrib.exe για να αλλάξει τη σημαία +h (απόκρυψη), καθώς και το icacls.exe για να δώσει πλήρη δικαιώματα σε όλους τους χρήστες: "icacls. /grant Everyone:F /T /C /Q."

Αξίζει να σημειωθεί ότι το πρόγραμμα έχει αρθρωτή αρχιτεκτονική. Είναι πιθανό ότι όλα τα εκτελέσιμα αρχεία σε αυτό γράφτηκαν από διαφορετικούς ανθρώπους. Αυτό θα μπορούσε ενδεχομένως να σημαίνει ότι η δομή του προγράμματος θα μπορούσε να επιτρέψει την εκκίνηση διαφόρων κακόβουλων σεναρίων.

Αφού ολοκληρωθεί η κρυπτογράφηση, το κακόβουλο λογισμικό εμφανίζει ένα παράθυρο που απαιτεί λύτρα για τα αρχεία. Το ενδιαφέρον σημείο είναι ότι το παράθυρο είναι ένα εκτελέσιμο αρχείο και όχι μια εικόνα, αρχείο HTA ή αρχείο κειμένου.

Τα θύματα πρέπει να καταλάβουν ότι κανείς δεν εγγυάται ότι μετά την πληρωμή των λύτρων η συσκευή δεν θα είναι πλέον παράλυτη.

Τι πρέπει να κάνετε τώρα για να αποφύγετε τη μόλυνση.

1. Η Microsoft παρουσίασε μια ενημέρωση κώδικα για το ζήτημα EternalBlue στο MS17-010 με ημερομηνία 14 Μαρτίου 2017, οπότε πρώτο και κύριο μέτροΓια προστασία από το WannaCry, θα πρέπει να εγκαταστήσετε αυτήν την ενημέρωση ασφαλείας για τα Windows.

Απευθείας σύνδεσμος για ενημέρωση: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Είναι το γεγονός ότι πολλοί χρήστες και διαχειριστές συστημάτων δεν το έχουν κάνει ακόμη αυτό που ήταν ο λόγος για μια τόσο μεγάλης κλίμακας επίθεση, η ζημιά από την οποία δεν έχει ακόμη εκτιμηθεί. Είναι αλήθεια ότι η ενημέρωση έχει σχεδιαστεί για εκείνες τις εκδόσεις των Windows για τις οποίες η υποστήριξη δεν έχει ακόμη σταματήσει. Λόγω του υψηλού επιπέδου απειλής, η Microsoft έχει επίσης κυκλοφορήσει ενημερώσεις για λειτουργικά συστήματα παλαιού τύπου όπως τα Windows XP, Windows 8 και Windows Server 2003. Κάντε λήψη τους.

2. Για να ελαχιστοποιήσετε την απειλή, πρέπει να εγκαταστήσετε επειγόντως όλες τις πιο πρόσφατες ενημερώσεις του λειτουργικού συστήματος των Windows: Έναρξη - Όλα τα προγράμματα - Windows Update - Αναζήτηση ενημερώσεων - Λήψη και εγκατάσταση.

3. Οποιοσδήποτε οργανισμός έχει δημόσια προσβάσιμη SMB (θύρες 139, 445) θα πρέπει να αποκλείει αμέσως την εισερχόμενη κίνηση.

4. Δεν πρέπει να ξεχνάμε τα τακτικά αντίγραφα ασφαλείας σημαντικών δεδομένων. Λάβετε υπόψη ότι το WannaCry στοχεύει τις ακόλουθες κατηγορίες αρχείων:

• τα πιο κοινά έγγραφα γραφείου (.ppt, .doc, .docx, .xlsx, .sxi).
• ορισμένοι λιγότερο δημοφιλείς τύποι εγγράφων (.sxw, .odt, .hwp).
• αρχεία και αρχεία πολυμέσων (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• αρχεία email (.eml, .msg, .ost, .pst, .edb).
• βάσεις δεδομένων (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• αρχεία έργου και πηγαίοι κώδικες (.php, .java, .cpp, .pas, .asm).
• κλειδιά κρυπτογράφησης και πιστοποιητικά (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• μορφές γραφικών (.vsd, .odg, .raw, .nef, .svg, .psd).
• αρχεία εικονικής μηχανής (.vmx, .vmdk, .vdi).

5. Κακόβουλο λογισμικό ενδέχεται να φτάσει μέσω email. Το θύμα λαμβάνει τη μόλυνση κάνοντας κλικ στο κακόβουλο συνημμένο. Τις περισσότερες φορές μιλάμε για αρχεία με επεκτάσεις js και exe, καθώς και έγγραφα με κακόβουλες μακροεντολές (για παράδειγμα, αρχεία Microsoft Word). Επομένως, σας συνιστούμε να είστε προσεκτικοί σχετικά με τις αποστολές που έρχονται μέσω email και άλλων καναλιών.

6. Βεβαιωθείτε ότι χρησιμοποιείτε ένα ενημερωμένο πρόγραμμα προστασίας από ιούς σε λειτουργία παρακολούθησης και, εάν είναι δυνατόν, ελέγξτε το σύστημα για απειλές. Το μόνο antivirus που εντοπίζει τον ιό: ESET NOD32.Εάν εντοπιστεί και εξαλειφθεί η δραστηριότητα MEM:Trojan.Win64.EquationDrug.gen, επανεκκινήστε το σύστημα και, στη συνέχεια, βεβαιωθείτε ότι είναι εγκατεστημένο το MS17-010. Επί του παρόντος, οκτώ ονόματα του ιού είναι γνωστά:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

Ακόμα κι αν το σύστημα δεν ενημερώθηκε και το WannaCry μπήκε στον υπολογιστή, τόσο οι εταιρικές όσο και οι οικιακές λύσεις ESET NOD32 εντοπίζουν και αποκλείουν με επιτυχία όλες τις τροποποιήσεις του.

ΥΣΤΕΡΟΓΡΑΦΟ:Εάν η μόλυνση δεν μπορούσε να αποφευχθεί, δεν μπορείτε ακόμα να πληρώσετε τους εισβολείς. Πρώτον, ακόμη και αν μεταφερθούν χρήματα στο καθορισμένο πορτοφόλι Bitcoin, κανείς δεν εγγυάται την αποκρυπτογράφηση των αρχείων. Δεύτερον, δεν μπορείτε να είστε σίγουροι ότι μια επίθεση στον ίδιο υπολογιστή δεν θα επαναληφθεί και ότι οι εγκληματίες του κυβερνοχώρου δεν θα απαιτήσουν μεγάλο ποσό λύτρων. Και τέλος, τρίτον, η πληρωμή για την «υπηρεσία» ξεμπλοκαρίσματος θα ανταμείψει όσους ασκούν εγκληματικές δραστηριότητες στο Διαδίκτυο και θα τους χρησιμεύσει ως κίνητρο για να πραγματοποιήσουν νέες επιθέσεις.