Je veux un virus Le cri a tonné dans le monde entier le 12 mai, ce jour-là plusieurs personnes ont annoncé que leurs réseaux avaient été infectés. établissements médicaux au Royaume-Uni, la société espagnole de télécommunications et le ministère russe de l'Intérieur ont rapporté la réflexion attaque de pirate informatique.

WannaCry (le commun des mortels l'a déjà surnommé Vaughn's Land) appartient à la catégorie des virus de cryptage (crypteurs) qui, lorsqu'ils frappent un PC, cryptent fichiers utilisateur algorithme résistant au cryptage, par la suite – la lecture de ces fichiers devient impossible.

Sur à l'heure actuelle, les extensions de fichiers populaires suivantes sont connues pour être soumises au cryptage WannaCry :

1. Fichiers populaires Microsoft Office(.xlsx, .xls, .docx, .doc).
2. Fichiers d'archives et multimédias (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - comment le virus se propage

Plus tôt, nous avions évoqué cette méthode de propagation des virus dans un article sur, donc rien de nouveau.

Sur boîte aux lettres l'utilisateur reçoit une lettre avec une pièce jointe « inoffensive » - il peut s'agir d'une image, d'une vidéo, d'une chanson, mais au lieu de l'extension standard pour ces formats, la pièce jointe aura une extension de fichier exécutable - exe. Lorsqu'un tel fichier est ouvert et lancé, le système est « infecté » et, grâce à une vulnérabilité, un virus est directement chargé dans le système d'exploitation Windows, cryptant les données de l'utilisateur.

Peut-être que ce n'est pas le cas la seule méthode Distribution WannaCry – vous pouvez devenir une victime en téléchargeant des fichiers « infectés » depuis réseaux sociaux, trackers torrent et autres sites.

WannaCry – comment se protéger du virus ransomware

1. Installez le correctif pour Microsoft Windows. 14 mai société Microsoft a publié un correctif d'urgence pour les versions suivantes : Vista, 7, 8.1, 10, Serveur Windows. Vous pouvez installer ce correctif simplement en exécutant une mise à jour du système via le service Windows Update.

2. Utiliser un logiciel antivirus avec des bases de données à jour. Des développeurs de logiciels de sécurité bien connus, tels que Kaspersky et Dr.Web, ont déjà publié une mise à jour de leurs produits contenant des informations sur WannaCry, protégeant ainsi leurs utilisateurs.

3. Enregistrez les données importantes sur un support distinct. Si votre ordinateur ne le prend pas encore en charge, vous pouvez économiser le maximum fichiers importants sur un support séparé (lecteur flash, disque). Avec cette approche, même si vous devenez victime, vous économiserez le plus fichiers précieux du cryptage.

Pour le moment, tout cela est connu moyens efficaces protection contre WannaCry.

Décrypteur WannaCry, où télécharger et est-il possible de supprimer le virus ?

Les virus Ransomware appartiennent à la catégorie des virus les plus « méchants », car... dans la plupart des cas, les fichiers utilisateur sont cryptés avec une clé de 128 bits ou 256 bits. Le pire c'est que dans chaque cas la clé est unique et que le décryptage de chacune nécessite d'énormes puissance de calcul, ce qui rend presque impossible le traitement des utilisateurs « ordinaires ».

Mais que se passe-t-il si vous êtes victime de WannaCry et avez besoin d’un décrypteur ?

1. Contactez le forum d'assistance de Kaspersky Lab - https://forum.kaspersky.com/ avec une description du problème. Le forum est composé à la fois de représentants d'entreprises et de bénévoles qui contribuent activement à résoudre les problèmes.

2. Comme dans le cas de célèbre cryptographe CryptXXX - une solution universelle a été trouvée pour décrypter les fichiers cryptés. Depuis Détection WannaCry pas plus d'une semaine ne s'est écoulée et des spécialistes de laboratoires antivirus Nous n’avons pas encore trouvé une telle solution.

3. La solution cardinale sera - suppression complète OS depuis un ordinateur suivi de installation propre nouveau. Dans cette situation, tous les fichiers et données utilisateur sont complètement perdus, ainsi que la suppression de WannaCry.

Si votre ordinateur ou plusieurs appareils à la fois dans votre maison ou réseau de travail frappé Virus de la colère– lisez notre article.

Ici, vous apprendrez comment vous protéger et prévenir les infections, ainsi que comment décrypter correctement les données cryptées.

L'importance de ces connaissances est confirmée par les informations sur plus de 150 000 ordinateurs infectés en 2017, dont le système d'exploitation a été infecté par code WC malveillant.

Et même si la propagation mondiale de la menace a été stoppée, il est possible que la prochaine version du ransomware devienne encore plus efficace, et il vaut la peine de se préparer à l’avance à son apparition.

Contenu:

Conséquences

Les premiers signes d’une infection informatique par un virus ransomware ont été découverts le 12 mai 2017, Quand programme inconnu interféré avec le travail de milliers d’utilisateurs et de centaines d’organisations différentes à travers le monde.

Le code malveillant a commencé à se propager à 8 heures du matin et a infecté plus de 50 000 PC dès le premier jour.

La plupart des infections se sont produites - même si les premières données provenaient du Royaume-Uni et que parmi les organisations touchées figuraient des sociétés de télécommunications espagnoles et portugaises et même entreprise automobile "Renault".

En Russie, il a attaqué les opérateurs communications mobiles "Mégaphone", "Ligne droite" Et "Iota", ministère situations d'urgence, Ministère de l'Intérieur et de la Gestion chemins de fer.

Pour cette raison, les examens du permis de conduire ont été annulés dans certaines régions du pays et un certain nombre d'organisations ont temporairement suspendu leur travail.

Enregistrement d'un nom de domaine inscrit dans le code du virus, a permis d'arrêter sa propagation. Après cela, le programme ne pouvait plus accéder à un domaine spécifique et ne fonctionnait plus. C'est vrai, seulement avant l'obtention du diplôme nouvelle version, où le traitement par adresse spécifique.

Exigences des développeurs de logiciels malveillants

Le résultat de l’infection des ordinateurs a été le blocage de la majorité de ceux qui s’y trouvaient. disques durs fichiers.

En raison de l'impossibilité d'utiliser les informations, les utilisateurs ont même traduit le nom de l'application WannaCry par "J'ai envie de pleurer", pas "Je veux chiffrer" (Je veux pleurer ptor), comme c'était réellement le cas.

Mais étant donné que les fichiers non déchiffrés ne pourront probablement pas être récupérés, option personnalisée semblait plus approprié.

Windows est apparu sur le bureau de l'ordinateur infecté avec l'obligation de payer les fraudeurs pour déverrouiller les informations.

Au début, les attaquants n'ont exigé que 300 dollars, après un certain temps, le montant est passé à 500 dollars - et après le paiement, il n'y avait aucune garantie que l'attaque ne se reproduirait pas - car l'ordinateur était toujours infecté.

Mais si vous refusiez de payer, les données cryptées étaient perdues 12 heures après l’apparition de l’avertissement.

Méthodes de propagation de la menace

Les développeurs du malware l'ont utilisé pour infecter les ordinateurs avec Vulnérabilité Windows ce système d'exploitation, qui a été fermé avec la mise à jour MS17-010.

Les victimes étaient principalement les utilisateurs qui n'avaient pas installé ce correctif en mars 2017.

Après avoir installé (manuellement ou automatiquement) la mise à jour accès à distanceà l'ordinateur était fermé.

Dans le même temps, le correctif de mars n'a pas entièrement protégé le système d'exploitation. Surtout si l'utilisateur l'ouvre lui-même - c'est aussi ainsi que le virus se propage.

Et après avoir infecté un ordinateur, le virus a continué à se propager à la recherche de vulnérabilités. Pour cette raison, les plus vulnérables n'étaient pas les utilisateurs individuels, mais grandes entreprises.

Prévention des infections

Malgré le risque sérieux qu'un virus (et ses nouvelles versions) s'installe sur presque n'importe quel ordinateur, il existe plusieurs façons d'éviter d'infecter votre système.

Pour ce faire, les mesures suivantes doivent être prises :

• assurez-vous d'installer derniers correctifs sécurité, et s’ils sont manquants, ajoutez-les manuellement. Après cela, assurez-vous d'activer mise à jour automatique– très probablement, cette option a été désactivée ;

• n'ouvrez pas les e-mails contenant des pièces jointes provenant d'utilisateurs inconnus ;
• ne cliquez pas sur des liens suspects – surtout si votre antivirus vous avertit de leur danger ;
• établir la qualité programme antivirus– par exemple, ou , le pourcentage de détection de Bath Edge qui a le maximum. La plupart des moins connus et surtout applications gratuites protéger davantage la plateforme ;

• Après l'infection, déconnectez immédiatement votre ordinateur d'Internet et, en particulier, de réseau local, protégeant les autres appareils de la propagation des ransomwares.

De plus, l'utilisateur doit sauvegarder périodiquement les données importantes en créant des copies de sauvegarde.

Si possible, il vaut la peine de copier les informations sur des clés USB, des cartes mémoire ou non (externes ou internes amovibles).

S'il est possible de récupérer des informations, les dommages causés par le virus seront minimes : si un ordinateur est infecté, il suffit simplement de formater son périphérique de stockage.

Traitement d'un PC infecté

Si l'ordinateur est déjà infecté, l'utilisateur doit essayer de le guérir, en éliminant les conséquences Actions WannaCry.

Après tout, après programme antivirus entré dans le système, se produit avec un changement dans leurs extensions.

En essayant de lancer des applications ou d'ouvrir des documents, l'utilisateur échoue, l'obligeant à réfléchir à la résolution du problème en payant les 500 $ requis.

Basique étapes de résolution de problèmes:

1 Démarrage des services intégrés au système d'exploitation Windows. Chance pour résultat positif dans ce cas, il est petit, vous devrez donc probablement utiliser d'autres options ;

2 Réinstallation du système. Dans ce cas, vous devez tout formater - il est possible que toutes les informations soient perdues ;

3 Aller au décryptage des données– cette option est utilisée s’il y a des données importantes sur le disque.

4 Processus de récupération de fichiers commence par télécharger les mises à jour appropriées et se déconnecter d’Internet. Après cela, l'utilisateur doit exécuter ligne de commande(à travers "Commencer" et la section "Standard" ou via le menu "Courir" et ) et bloquez le port 445, bloquant le chemin d'entrée du virus. Cela peut être fait en entrant la commande netsh advfirewall pare-feu ajouter une règle dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

5 Suit maintenant courir . Pour cela, maintenez la touche enfoncée pendant le chargement F8 pour accéder au menu de démarrage de l'ordinateur et sélectionner l'élément approprié. Dans ce mode, un dossier avec code malveillant, qui se trouve à l’aide du raccourci antivirus qui apparaît sur le bureau. Après avoir supprimé tous les fichiers du répertoire, vous devez redémarrer le système et réactiver Internet.

Décryptage de fichiers

Une fois WannaCry arrêté, l'utilisateur doit restaurer tous les fichiers cryptés.

Il convient de noter qu'il reste désormais beaucoup plus de temps que 12 heures pour cela. Par conséquent, si vous ne pouvez pas restituer les données vous-même, vous pouvez contacter des spécialistes dans quelques jours ou quelques mois.

La meilleure option – récupération de données depuis copies de sauvegarde. Si l'utilisateur n'a pas prévu la possibilité d'infection et n'a pas copié de données importantes, vous devez télécharger un programme de décryptage :

• Shadow Explorer, qui est basé sur la restauration de copies « fantômes » de fichiers (principalement des documents) ;

Riz. 6. Lancement du programme

Figure 9. Fonctionnement du programme Windows Data Recovery.

Riz. 10. Récupérez des fichiers via le programme en 1 clic

• utilitaires produits par Kaspersky Lab spécifiquement pour restaurer les informations cryptées.

Riz. 11. Lancez l'utilitaire

Figure 12. Processus de restauration des données

Il faut savoir : Le programme ne doit être lancé qu'après la suppression du virus lui-même. Si vous ne parvenez pas à arrêter Vanna Edge, vous ne devez pas utiliser le décodeur.

WannaCrypt (qui se traduit par « Je veux pleurer ») - virus informatique, frappé le 12 mai 2017 grand nombre ordinateurs exécutant un système d'exploitation Systèmes Microsoft Fenêtres. Cette vulnérabilité affecte les PC exécutant les systèmes d'exploitation Windows de XP à Windows 10 et Server 2016. Le virus a affecté les ordinateurs de particuliers, d'organisations commerciales et d'agences gouvernementales du monde entier. WannaCrypt est utilisé comme moyen d'extorquer des fonds.

Qui est derrière cela ou l’origine du virus

L’origine exacte du virus n’a pas encore été établie. Mais notre éditeur a pu retrouver les 3 versions les plus basiques.

1. Les pirates russes

Oui, mes amis, comment ne pas contourner un virus aussi retentissant sans les « hackers russes » préférés de tous. L'incident pourrait être lié aux récents avertissements du groupe Shadow Brokers contre le président américain Donald Trump après son approbation. frappes de missiles en Syrie.

2. Les agences de renseignement américaines

Le 15 mai, le président russe Vladimir Poutine a désigné les services de renseignement américains comme étant à l'origine du virus et a déclaré que « la Russie n'a absolument rien à voir avec cela ». Guide Microsoft a également déclaré que la principale source de ce virus était les services de renseignement américains.

3. Gouvernement de la RPDC

Les représentants des sociétés antivirus Symantec et Kaspersky Lab ont déclaré que les cybercriminels du groupe associés à Pyongyang étaient impliqués dans des cyberattaques utilisant le virus WanaCrypt0r 2.0, qui a infecté des milliers d'ordinateurs dans 150 pays.

WannaCry crypte la plupart, voire tous les fichiers de votre ordinateur. Alors logiciel s'affiche sur l'écran de l'ordinateur message spécifique qui demande une rançon de 300 $ pour décrypter vos fichiers. Le paiement doit intervenir le Portefeuille Bitcoin. Si l’utilisateur ne paie pas la rançon dans les 3 jours, le montant est doublé pour atteindre 600 $. Après 7 jours, le virus supprimera tous les fichiers cryptés et toutes vos données seront perdues.

Symantec a publié une liste de tous les types de fichiers que Wanna Cry peut chiffrer. Cette liste comprend TOUS les formats de fichiers populaires, notamment .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, . .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. etc.

Comment se protéger du virus

Actuellement le seul méthode efficace la protection contre un virus consiste à mettre à jour le système d'exploitation, notamment pour fermer la vulnérabilité exploitée par WannaCry.

Méthode de protection :

1. Mise à jour du système

Activer les mises à jour automatiques du système dans le Centre Mises à jour Windows sur votre ordinateur.

2. Sauvegardes

Faire sauvegarde informations importantes et utiliser plateformes cloud pour le stocker.

Installer utilitaire gratuit pour la protection contre les ransomwares Kaspersky Anti-Ransomware.

4. Port 445

Bloquez toutes les interactions sur le port 445, aussi bien sur les stations finales que sur les équipements réseau.

Pour Windows 10

Le pare-feu Netsh advfirewall ajoute une règle dir=in action=block protocol=TCP localport=135 name="Block_TCP-135" le pare-feu netsh advfirewall ajoute une règle dir=in action=block protocol=TCP localport=445 name="Block_TCP-445" echo " Merci, Abu"

Pour Windows 7

Set-ItemProperty -Chemin "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Valeur 0 -Force

S’il n’y a eu aucune réaction à la commande, alors il devrait en être ainsi. C'est un comportement normal. Indique que la commande a été appliquée

Traiter votre ordinateur contre un virus

1. Allumez mode sans échec Fenêtres

Sous Windows 7, cela peut être fait lorsque le système redémarre après avoir appuyé sur la touche F8.

2. Supprimer applications indésirables.

Vous pouvez désinstaller vous-même les applications indésirables via les programmes de désinstallation.

3. Récupérez les fichiers cryptés.

Pour restaurer des fichiers, vous pouvez utiliser divers décrypteurs et utilitaires.

Conclusion

Donc, aujourd’hui, nous avons parlé du virus Wanna Cry. Nous avons découvert ce que c'est ce virus, comment se protéger contre l'infection, comment supprimer le virus. Sans doute celui-ci le virus entrera dans l’histoire et restera dans les mémoires de beaucoup. Bien que l’infection virale diminue, l’ampleur de tout cela est tout simplement incroyable. J'espère que vous avez trouvé cet article utile.

En russe Wanna Cry – nouveau look attaque de pirate informatique, malware-ransomware, a fait frémir les utilisateurs de PC et d'Internet du monde entier. Comment fonctionne le virus Wanna Cry, est-il possible de s'en protéger et si oui, comment ?

12 mai, ordinateurs en marche systèmes d'exploitation Les fenêtres du monde entier ont subi la plus grande attaque de l'histoire dernièrement. Nous parlons du virus Wanna Cry (WNCRY, Wana Decrypt0r 2.0), qui appartient à la classe Ransomware, c'est-à-dire un ransomware malveillant qui crypte les fichiers des utilisateurs et demande une rançon pour y restaurer l'accès. DANS dans ce cas on parle de sommes allant de 300$ à 600$, que la victime doit transférer vers un portefeuille spécifique en bitcoins. Le montant de la rançon dépend du temps qui s'est écoulé depuis l'infection - après un certain intervalle, il augmente.

L'attaque du ransomware a paralysé de nombreuses entreprises et organisations à travers le monde, notamment la société de télécommunications espagnole Telefonica, des hôpitaux au Royaume-Uni et la société de livraison américaine FedEx. Le coup principal est tombé sur Utilisateurs russes et les entreprises. À l'heure actuelle, WannaCry a réussi à infecter environ 57 000 ordinateurs, dont réseaux d'entreprise Ministère de l'Intérieur, des Chemins de fer russes et Megafon. La Sberbank et le ministère de la Santé ont également signalé des attaques contre leurs systèmes.

Propagation du virus Wanna Cry

Pour éviter de rejoindre les rangs de ceux dont les ordinateurs sont infectés, il est nécessaire de comprendre comment le malware pénètre dans le système. Un ordinateur est infecté à l'aide d'une vulnérabilité dans Protocole PME, vous permettant d'exécuter à distance code de programme. Il est basé sur l'exploit EternalBlue, créé dans les murs de l'Agence sécurité nationale USA (NSA) et rendu public par des pirates.

Le fichier mssecsvc.exe initial lance un autre fichier appelé tâchesche.exe. Le domaine du commutateur est ensuite vérifié et le service mssecsvc2.0 est créé. Ce service exécute le fichier mssecsvc.exe avec un point d'entrée différent de celui lors de son premier lancement. La deuxième exécution obtient l'adresse IP de la machine infectée et tente de se connecter au 445 Port TCP chaque adresse IP du sous-réseau. Lorsque le logiciel malveillant se connecte avec succès à la machine distante, une connexion est établie et les données sont transférées. Apparemment, quelque part dans ce processus de transfert, une vulnérabilité connue est exploitée, qui a été corrigée par la mise à jour MS 17-010. À l’heure actuelle, il n’existe pas de compréhension complète du trafic des PME ni des conditions dans lesquelles les logiciels malveillants peuvent se propager à l’aide d’une faille de sécurité.

Le fichier taskche.exe vérifie tous les lecteurs, ainsi que les dossiers partagés sur le réseau et les appareils connectés associés à des lettres telles que « C:/ », « D :/ », etc. Le malware recherche ensuite les fichiers avec les extensions répertoriées dans le programme (et indiquées ci-dessous) et les crypte en utilisant 2048 bits. Cryptage RSA. Pendant le cryptage des fichiers, un dossier « Tor/ » est créé, où sont placés les fichiers tor.exe et 9. fichiers dll qu'il utilise. De plus, taskdl.exe et Taskse.exe sont créés. Le premier supprime fichiers temporaires, et le second exécute @ [email protégé], qui montre à l'utilisateur une fenêtre lui demandant de payer. Déposer @ [email protégé] est uniquement responsable de l’affichage du message. Le cryptage des fichiers s'effectue en arrière-plan à l'aide de Tasksche.exe.

Le fichier tor.exe est lancé en utilisant @ [email protégé]. Ce nouveau processus commence à se connecter aux nœuds Tor. De cette manière, WannaCry préserve l'anonymat en envoyant tout son trafic via le réseau Tor.

Comme c'est généralement le cas pour les ransomwares, le programme supprime également tout clichés instantanés sur l'ordinateur de la victime pour rendre la récupération encore plus difficile. Cela se fait à l'aide de WMIC.exe, vssadmin.exe et cmd.exe

WannaCry utilise diverses manières pour aider votre performance. Il est donc utilisé par attrib.exe pour changer l'indicateur +h (masquage), et également par icacls.exe pour donner pleins droitsà tous les utilisateurs : « icacls. /accorde à tout le monde : F /T /C /Q.

Il est à noter que le programme a une architecture modulaire. Il est probable que tous les fichiers exécutables y soient écrits différentes personnes. Cela pourrait potentiellement signifier que la structure du programme pourrait permettre le lancement de divers scripts malveillants.

Une fois le cryptage terminé, le malware affiche une fenêtre exigeant une rançon pour les fichiers. Point intéressant c'est que la fenêtre est fichier exécutable, pas une image, un fichier HTA ou un fichier texte.

Les victimes doivent comprendre que personne ne garantit qu’après avoir payé la rançon, l’appareil ne sera plus paralysé.

Ce que vous devez faire dès maintenant pour éviter l’infection.

1. Résoudre le problème d'EternalBlue Société Microsoft introduit dans le bulletin MS17-010 du 14 mars 2017.

Par conséquent, la première mesure de protection contre WannaCry devrait être d’installer cette mise à jour de sécurité pour Windows.

C'est précisément le fait que de nombreux utilisateurs et administrateurs système je ne l'ai pas encore fait, et c'est la raison pour laquelle attaque à grande échelle, dont les dégâts doivent encore être évalués. Certes, la mise à jour est conçue pour ceux Versions Windows, dont le soutien n’a pas encore cessé. En raison de haut niveau menaces Microsoft a également publié des mises à jour pour les systèmes d'exploitation existants tels que Windows XP, Windows 8 et Windows Server 2003. Téléchargez-les.

2. Pour minimiser la menace, il est nécessaire de tout installer de toute urgence dernières mises à jour Système d'exploitation Windows : Démarrer - Tous les programmes - Windows Update - Rechercher des mises à jour - Télécharger et installer.

3. Toute organisation disposant d'un SMB accessible au public (ports 139, 445) doit immédiatement bloquer le trafic entrant.

4. Il ne faut pas oublier la régularité sauvegarde données importantes. Veuillez noter que WannaCry cible les catégories de fichiers suivantes :

• le plus courant documents de bureau(.ppt, .doc, .docx, .xlsx, .sxi).
• certains types de documents moins populaires (.sxw, .odt, .hwp).
• archives et fichiers multimédias (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• fichiers de courrier électronique (.eml, .msg, .ost, .pst, .edb).
• bases de données (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• fichiers de projet et codes sources(.php, .java, .cpp, .pas, .asm).
• clés de chiffrement et certificats (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formats graphiques (.vsd, .odg, .raw, .nef, .svg, .psd).
• fichiers machines virtuelles(.vmx, .vmdk, .vdi).

5. Des logiciels malveillants peuvent arriver via e-mail. La victime reçoit l'infection en cliquant sur une pièce jointe malveillante. Le plus souvent, nous parlons de fichiers avec des extensions js et exe, ainsi que de documents contenant des macros malveillantes (par exemple, Fichiers Microsoft Mot). Par conséquent, nous vous recommandons d’être vigilant concernant les mailings qui arrivent par e-mail et par d’autres canaux.

6. Assurez-vous d'utiliser un antivirus mis à jour en mode surveillance et, si possible, vérifiez le système pour détecter les menaces. Le seul antivirus qui trouve le virus : ESET NOD32. Si l'activité MEM:Trojan.Win64.EquationDrug.gen est détectée et éliminée, redémarrez le système, puis assurez-vous que MS17-010 est installé. Sur moment actuel Huit noms du virus sont connus :

Trojan-Ransom.Win32.Gen.djd ;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d ;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i ;

PDM : Trojan.Win32.Generic.

Même si le système n'a pas été mis à jour et que WannaCry s'est installé sur l'ordinateur, les solutions d'entreprise et domestiques ESET NOD32 détectent et bloquent avec succès toutes ses modifications.

PS : Si l’infection n’a pas pu être évitée, vous ne pouvez toujours pas payer les attaquants. Premièrement, même si l'argent est transféré vers le portefeuille Bitcoin spécifié, personne ne garantit le décryptage des fichiers. Deuxièmement, vous ne pouvez pas être sûr qu’une attaque contre le même ordinateur ne se répétera pas et que les cybercriminels n’exigeront pas une rançon importante. Et enfin, troisièmement, payer pour le « service » de déblocage récompensera ceux qui mènent des activités criminelles sur Internet et les incitera à mener de nouvelles attaques.

14/05/2017 28/05/2017 par Vlad

Le virus Wanna Cry est un nouveau type d'attaque de pirate informatique, un programme ransomware malveillant qui a choqué les utilisateurs de PC et d'Internet du monde entier. Comment fonctionne le virus Wanna Cry, est-il possible de s'en protéger et si oui, comment ?

12 mai, ordinateurs en cours d'exécution Systèmes Windows partout dans le monde ont été victimes de la plus grande attaque de ces derniers temps. Nous parlons du virus Wanna Cry (WNCRY, Wana Decrypt0r 2.0), qui appartient à la classe Ransomware, c'est-à-dire un ransomware malveillant qui crypte les fichiers des utilisateurs et demande une rançon pour y restaurer l'accès. Dans ce cas, nous parlons de montants allant de 300 $ à 600 $, que la victime doit transférer vers un portefeuille spécifique en bitcoins. Le montant de la rançon dépend du temps qui s'est écoulé depuis le moment de l'infection - après un certain intervalle, il augmente.

L'attaque du ransomware a paralysé de nombreuses entreprises et organisations à travers le monde, notamment la société de télécommunications espagnole Telefonica, des hôpitaux au Royaume-Uni et la société de livraison américaine FedEx. Le coup principal est tombé sur les utilisateurs et les entreprises russes. À l'heure actuelle, WannaCry a réussi à infecter environ 57 000 ordinateurs, y compris les réseaux d'entreprise du ministère de l'Intérieur, des chemins de fer russes et de Megafon. La Sberbank et le ministère de la Santé ont également signalé des attaques contre leurs systèmes.

Propagation du virus Wanna Cry

Pour éviter de rejoindre les rangs de ceux dont les ordinateurs sont infectés, il est nécessaire de comprendre comment le malware pénètre dans le système. L'ordinateur est infecté à l'aide d'une vulnérabilité du protocole SMB, qui permet d'exécuter du code de programme à distance. Il est basé sur l'exploit EternalBlue, créé dans les murs de la National Security Agency (NSA) américaine et rendu public par des pirates.

Le fichier mssecsvc.exe initial lance un autre fichier appelé tâchesche.exe. Le domaine du commutateur est ensuite vérifié et le service mssecsvc2.0 est créé. Ce service exécute le fichier mssecsvc.exe avec un point d'entrée différent de celui lors de son premier lancement. La deuxième exécution obtient l'adresse IP de la machine infectée et tente de se connecter au port TCP 445 de chaque adresse IP du sous-réseau. Lorsque le logiciel malveillant se connecte avec succès à la machine distante, une connexion est établie et les données sont transférées. Apparemment, quelque part dans ce processus de transfert, une vulnérabilité connue est exploitée, qui a été corrigée par la mise à jour MS 17-010. À l’heure actuelle, il n’existe pas de compréhension complète du trafic des PME ni des conditions dans lesquelles les logiciels malveillants peuvent se propager à l’aide d’une faille de sécurité.

Le fichier taskche.exe vérifie tous les lecteurs, ainsi que les dossiers partagés sur le réseau et les appareils connectés associés à des lettres telles que « C:/ », « D :/ », etc. Le malware recherche ensuite les fichiers dont les extensions sont répertoriées dans le programme (et indiquées ci-dessous) et les crypte à l'aide du cryptage RSA 2048 bits. Pendant le cryptage des fichiers, un dossier « Tor/ » est créé, où sont placés le fichier tor.exe et les 9 fichiers dll qu'il utilise. De plus, taskdl.exe et Taskse.exe sont créés. Le premier supprime les fichiers temporaires et le second exécute @ [email protégé], qui montre à l'utilisateur une fenêtre lui demandant de payer. Déposer @ [email protégé] est uniquement responsable de l’affichage du message. Le cryptage des fichiers s'effectue en arrière-plan à l'aide de Tasksche.exe.

Le fichier tor.exe est lancé en utilisant @ [email protégé]. Ce nouveau processus commence à se connecter aux nœuds Tor. De cette manière, WannaCry préserve l'anonymat en envoyant tout son trafic via le réseau Tor.

Comme c'est généralement le cas pour les ransomwares, le programme supprime également tous les clichés instantanés sur l'ordinateur de la victime pour rendre la récupération encore plus difficile. Cela se fait à l'aide de WMIC.exe, vssadmin.exe et cmd.exe

WannaCry utilise diverses méthodes pour faciliter son exécution. C'est ainsi qu'il est utilisé par attrib.exe pour changer le drapeau +h (masquage), ainsi que par icacls.exe pour donner tous les droits à tous les utilisateurs : « icacls. /accorde à tout le monde : F /T /C /Q.

Il est à noter que le programme a une architecture modulaire. Il est probable que tous les fichiers exécutables qu'il contient ont été écrits par des personnes différentes. Cela pourrait potentiellement signifier que la structure du programme pourrait permettre le lancement de divers scripts malveillants.

Une fois le cryptage terminé, le malware affiche une fenêtre exigeant une rançon pour les fichiers. Le point intéressant est que la fenêtre est un fichier exécutable et non une image, un fichier HTA ou un fichier texte.

Les victimes doivent comprendre que personne ne garantit qu’après avoir payé la rançon, l’appareil ne sera plus paralysé.

Ce que vous devez faire dès maintenant pour éviter l’infection.

1. Microsoft a introduit un correctif pour le problème EternalBlue dans MS17-010 en date du 14 mars 2017. mesure avant tout Pour vous protéger contre WannaCry, vous devez installer cette mise à jour de sécurité pour Windows.

Lien direct pour mettre à jour : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

C'est le fait que de nombreux utilisateurs et administrateurs système ne l'aient pas encore fait qui a été à l'origine d'une attaque d'une telle ampleur, dont les dégâts n'ont pas encore été évalués. Certes, la mise à jour est conçue pour les versions de Windows dont la prise en charge n'a pas encore cessé. En raison du niveau de menace élevé, Microsoft a également publié des mises à jour pour les systèmes d'exploitation existants tels que Windows XP, Windows 8 et Windows Server 2003. Téléchargez-les.

2. Pour minimiser la menace, vous devez installer de toute urgence toutes les dernières mises à jour du système d'exploitation Windows : Démarrer - Tous les programmes - Windows Update - Rechercher des mises à jour - Télécharger et installer.

3. Toute organisation disposant d'un SMB accessible au public (ports 139, 445) doit immédiatement bloquer le trafic entrant.

4. Nous ne devons pas oublier les sauvegardes régulières des données importantes. Veuillez noter que WannaCry cible les catégories de fichiers suivantes :

• les documents bureautiques les plus courants (.ppt, .doc, .docx, .xlsx, .sxi).
• certains types de documents moins populaires (.sxw, .odt, .hwp).
• archives et fichiers multimédias (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• fichiers de messagerie (.eml, .msg, .ost, .pst, .edb).
• bases de données (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• fichiers de projet et codes sources (.php, .java, .cpp, .pas, .asm).
• clés et certificats de chiffrement (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formats graphiques (.vsd, .odg, .raw, .nef, .svg, .psd).
• fichiers de machine virtuelle (.vmx, .vmdk, .vdi).

5. Des logiciels malveillants peuvent arriver par courrier électronique. La victime reçoit l'infection en cliquant sur la pièce jointe malveillante. Le plus souvent, nous parlons de fichiers avec des extensions js et exe, ainsi que de documents contenant des macros malveillantes (par exemple, des fichiers Microsoft Word). Par conséquent, nous vous recommandons d’être vigilant concernant les mailings provenant du courrier électronique et d’autres canaux.

6. Assurez-vous d'utiliser un antivirus mis à jour en mode surveillance et, si possible, vérifiez le système pour détecter les menaces. Le seul antivirus qui trouve le virus : ESET NOD32. Si l'activité MEM:Trojan.Win64.EquationDrug.gen est détectée et éliminée, redémarrez le système, puis assurez-vous que MS17-010 est installé. Actuellement, huit noms du virus sont connus :

Trojan-Ransom.Win32.Gen.djd ;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d ;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i ;

PDM : Trojan.Win32.Generic.

Même si le système n'a pas été mis à jour et que WannaCry s'est installé sur l'ordinateur, les solutions d'entreprise et domestiques ESET NOD32 détectent et bloquent avec succès toutes ses modifications.

PS : Si l’infection n’a pas pu être évitée, vous ne pouvez toujours pas payer les attaquants. Premièrement, même si l'argent est transféré vers le portefeuille Bitcoin spécifié, personne ne garantit le décryptage des fichiers. Deuxièmement, vous ne pouvez pas être sûr qu’une attaque sur le même ordinateur ne se répétera pas et que les cybercriminels n’exigeront pas une rançon importante. Et enfin, troisièmement, payer pour le « service » de déblocage récompensera ceux qui mènent des activités criminelles sur Internet et les incitera à mener de nouvelles attaques.