iTunes შეცდომები 

WannaCry ვირუსი: სიმპტომები, მოქმედების პრინციპი, დაცვის მეთოდები. პრევენცია და მკურნალობა. WanaDecryptor, Wanna Cry, WanaCrypt ან Wana Decryptor - რომელი სახელია სწორი

WannaCry არის სპეციალური პროგრამა, რომელიც ბლოკავს ყველა მონაცემს სისტემაში და მომხმარებელს უტოვებს მხოლოდ ორ ფაილს: ინსტრუქციებს, თუ რა უნდა გააკეთოს შემდეგ და თავად Wanna Decryptor პროგრამა - მონაცემთა განბლოკვის ინსტრუმენტი.

კომპიუტერული უსაფრთხოების კომპანიების უმეტესობას აქვს გამოსასყიდის გაშიფვრის ხელსაწყოები, რომლებსაც შეუძლიათ პროგრამული უზრუნველყოფის გვერდის ავლით. ჩვეულებრივი მოკვდავებისთვის „მკურნალობის“ მეთოდი ჯერ კიდევ უცნობია.

WannaCry Decryptor (ან WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),მას უკვე უწოდებენ "2017 წლის ვირუსს". და სულაც არა უმიზეზოდ. გავრცელების დაწყებიდან მხოლოდ პირველ 24 საათში, ამ გამოსასყიდმა პროგრამამ 45000-ზე მეტი კომპიუტერი დააინფიცირა. ზოგიერთი მკვლევარი თვლის, რომ ამ დროისთვის (15 მაისი) უკვე დაინფიცირებულია მილიონზე მეტი კომპიუტერი და სერვერი. შეგახსენებთ, რომ ვირუსის გავრცელება 12 მაისს დაიწყო. პირველები დაზარალდნენ მომხმარებლები რუსეთიდან, უკრაინიდან, ინდოეთიდან და ტაივანიდან. ამ დროისთვის ვირუსი დიდი სისწრაფით ვრცელდება ევროპაში, აშშ-სა და ჩინეთში.

ინფორმაცია დაშიფრული იყო სამთავრობო უწყებების (კერძოდ რუსეთის შინაგან საქმეთა სამინისტროს), საავადმყოფოების, ტრანსნაციონალური კორპორაციების, უნივერსიტეტებისა და სკოლების კომპიუტერებსა და სერვერებზე.

Wana Decryptor (Wanna Cry ან Wana Decrypt0r) პარალიზებული იყო ასობით კომპანიისა და სამთავრობო უწყების მუშაობა მთელს მსოფლიოში.

არსებითად, WinCry (WannaCry) არის EternalBlue ოჯახის ექსპლოიტი, რომელიც იყენებს საკმაოდ ძველ დაუცველობას Windows ოპერაციულ სისტემაში (Windows XP, Windows Vista, Windows 7, Windows 8 და Windows 10) და ჩუმად იტვირთება სისტემაში. შემდეგ, დეშიფრაციისადმი მდგრადი ალგორითმების გამოყენებით, ის შიფრავს მომხმარებლის მონაცემებს (დოკუმენტები, ფოტოები, ვიდეოები, ცხრილები, მონაცემთა ბაზები) და ითხოვს გამოსასყიდს მონაცემთა გაშიფვრისთვის. სქემა ახალი არ არის, ჩვენ მუდმივად ვწერთ ახალი ტიპის ფაილების დაშიფვრის შესახებ - მაგრამ განაწილების მეთოდი ახალია. და ამან გამოიწვია ეპიდემია.

როგორ მუშაობს ვირუსი

მავნე პროგრამა სკანირებს ინტერნეტს მასპინძლებისთვის, რომლებიც ეძებენ კომპიუტერებს ღია TCP პორტით 445, რომელიც პასუხისმგებელია SMBv1 პროტოკოლის მომსახურებაზე. ასეთი კომპიუტერის აღმოჩენის შემდეგ, პროგრამა ახორციელებს რამდენიმე მცდელობას გამოიყენოს მასზე EternalBlue დაუცველობა და, წარმატების შემთხვევაში, დააინსტალირებს DoublePulsar backdoor-ს, რომლის მეშვეობითაც ჩამოიტვირთება და გაშვებულია WannaCry პროგრამის შესრულებადი კოდი. ყოველი ექსპლუატაციის მცდელობისას, მავნე პროგრამა ამოწმებს DoublePulsar-ის არსებობას სამიზნე კომპიუტერზე და, თუ აღმოჩენილია, ჩამოტვირთავს პირდაპირ ამ უკანა კარიდან.

სხვათა შორის, ამ ბილიკებს თანამედროვე ანტივირუსული პროგრამები არ აკონტროლებს, რამაც ინფექცია ასე გავრცელდა. და ეს არის უზარმაზარი რიყის ქვა ანტივირუსული პროგრამის შემქმნელების ბაღში. როგორ შეიძლება ამის დაშვება? რისთვის იღებ ფულს?

გაშვების შემდეგ, მავნე პროგრამა მოქმედებს როგორც კლასიკური გამოსასყიდი პროგრამა: ის ქმნის უნიკალურ RSA-2048 ასიმეტრიულ გასაღებების წყვილს თითოეული ინფიცირებული კომპიუტერისთვის. შემდეგ, WannaCry იწყებს სისტემის სკანირებას მომხმარებლის ფაილების გარკვეული ტიპების ძიებაში, რაც ხელშეუხებელს ტოვებს მის შემდგომ ფუნქციონირებისთვის მნიშვნელოვანს. თითოეული შერჩეული ფაილი დაშიფრულია AES-128-CBC ალგორითმის გამოყენებით თითოეული მათგანისთვის უნიკალური (შემთხვევითი) გასაღებით, რომელიც თავის მხრივ დაშიფრულია ინფიცირებული სისტემის საჯარო RSA გასაღებით და ინახება დაშიფრული ფაილის სათაურში. ამ შემთხვევაში გაფართოება ემატება თითოეულ დაშიფრულ ფაილს .იყვირა. ინფიცირებული სისტემის RSA გასაღებების წყვილი დაშიფრულია თავდამსხმელთა საჯარო გასაღებით და იგზავნება Tor ქსელში მდებარე მათ საკონტროლო სერვერებზე, რის შემდეგაც ყველა გასაღები წაიშლება ინფიცირებული აპარატის მეხსიერებიდან. დაშიფვრის პროცესის დასრულების შემდეგ, პროგრამა აჩვენებს ფანჯარას, რომელიც გთხოვთ სამი დღის განმავლობაში გადაიტანოთ ბიტკოინის გარკვეული რაოდენობა (300 აშშ დოლარის ექვივალენტი) მითითებულ საფულეზე. თუ გამოსასყიდი დროულად არ მიიღება, მისი თანხა ავტომატურად გაორმაგდება. მეშვიდე დღეს, თუ WannaCry არ მოიხსნება ინფიცირებული სისტემიდან, დაშიფრული ფაილები ნადგურდება. შეტყობინება ნაჩვენებია კომპიუტერზე დაინსტალირებული ენის შესაბამის ენაზე. მთლიანობაში პროგრამა მხარს უჭერს 28 ენას. დაშიფვრის პარალელურად, პროგრამა სკანირებს თვითნებურ ინტერნეტ და ლოკალური ქსელის მისამართებს ახალი კომპიუტერების შემდგომი ინფექციისთვის.

Symantec-ის კვლევის მიხედვით, თავდამსხმელთა ალგორითმი თითოეული მსხვერპლისთვის ინდივიდუალური გადახდების თვალყურის დევნებისთვის და გაშიფვრის გასაღების გასაგზავნად, დანერგილია რასის მდგომარეობის შეცდომით. ეს გამოსასყიდის გადახდას უაზრო ხდის, რადგან ინდივიდუალური გასაღებები არავითარ შემთხვევაში არ გაიგზავნება და ფაილები დაშიფრული დარჩება. თუმცა, არსებობს 200 მბ-ზე ნაკლები მომხმარებლის ფაილების გაშიფვრის საიმედო მეთოდი და ასევე არსებობს უფრო დიდი ფაილების აღდგენის გარკვეული შანსი. გარდა ამისა, მოძველებულ Windows XP და Windows Server 2003 სისტემებზე, ფსევდო შემთხვევითი რიცხვების გამოთვლის ალგორითმის სისტემის განხორციელების თავისებურებების გამო, შესაძლებელია პირადი RSA გასაღებების აღდგენა და ყველა დაზარალებული ფაილის გაშიფვრა, თუ კომპიუტერს არ აქვს გადატვირთულია ინფექციის მომენტიდან. მოგვიანებით, Comae Technologies-ის კიბერუსაფრთხოების ფრანგმა ექსპერტთა ჯგუფმა გააფართოვა ეს ფუნქცია Windows 7-ზე და გამოიყენა იგი პრაქტიკაში ამ პროგრამის საჯარო დომენში გამოქვეყნებით. ვანაკივი, რომელიც საშუალებას გაძლევთ გაშიფროთ ფაილები გამოსასყიდის გარეშე.

პროგრამის ადრეული ვერსიების კოდი მოიცავდა თვითგანადგურების მექანიზმს, ეგრეთ წოდებულ Kill Switch-ს - პროგრამა ამოწმებდა ორი კონკრეტული ინტერნეტ დომენის ხელმისაწვდომობას და, თუ ისინი არსებობდა, მთლიანად ამოღებულ იქნა კომპიუტერიდან. ეს პირველად მარკუს ჰაჩინსმა აღმოაჩინა 2017 წლის 12 მაისს. (ინგლისური)რუსული 22 წლის ბრიტანული კომპანიის Kryptos Logic-ის ვირუსების ანალიტიკოსი, რომელიც Twitter-ზე ზედმეტსახელით @MalwareTechBlog წერს და მის სახელზე დაარეგისტრირა ერთ-ერთი დომენი. ამრიგად, მან შეძლო დროებით ნაწილობრივ დაებლოკა მავნე პროგრამის ამ მოდიფიკაციის გავრცელება. 14 მაისს მეორე დომენი დარეგისტრირდა. ვირუსის შემდგომ ვერსიებში, ეს თვითგამორთვის მექანიზმი ამოღებულია, მაგრამ ეს გაკეთდა არა პროგრამის საწყისი კოდით, არამედ შესრულებადი ფაილის რედაქტირებით, რაც ვარაუდობს, რომ ამ შესწორების წარმოშობა არ იყო ორიგინალური WannaCry-ს ავტორებისგან. , მაგრამ მესამე მხარის თავდამსხმელებისგან. შედეგად, დაშიფვრის მექანიზმი დაზიანდა და ჭიის ეს ვერსია შეიძლება გავრცელდეს მხოლოდ დაუცველი კომპიუტერების აღმოჩენით, მაგრამ არ შეუძლია მათთვის პირდაპირი ზიანის მიყენება.

WannaCry-ის გავრცელების მაღალი მაჩვენებელი, რომელიც უნიკალურია გამოსასყიდისთვის, უზრუნველყოფილია 2017 წლის თებერვალში გამოქვეყნებული Microsoft Windows ოპერაციული სისტემის SMB ქსელის პროტოკოლში დაუცველობის ექსპლუატაციით, რომელიც აღწერილია ბიულეტენში MS17-010. თუ კლასიკურ სქემაში გამოსასყიდი კომპიუტერში მოხვდა მომხმარებლის ქმედებების წყალობით ელ.ფოსტის ან ვებ ბმულის საშუალებით, მაშინ WannaCry-ის შემთხვევაში მომხმარებლის მონაწილეობა სრულიად გამორიცხულია. დაუცველი კომპიუტერის გამოვლენასა და მის სრულ ინფექციას შორის დრო დაახლოებით 3 წუთია.

დეველოპერულმა კომპანიამ დაადასტურა დაუცველობის არსებობა აბსოლუტურად ყველა მომხმარებლისა და სერვერის პროდუქტში, რომლებსაც აქვთ SMBv1 პროტოკოლის დანერგვა - დაწყებული Windows XP/Windows Server 2003-ით და დამთავრებული Windows 10/Windows Server 2016-ით. 2017 წლის 14 მარტს, Microsoft-მა გამოუშვა განახლებების სერია, რომელიც შექმნილია ყველა მხარდაჭერილ OS-ში დაუცველობის გასანეიტრალებლად. WannaCry-ის გავრცელების შემდეგ, კომპანიამ გადადგა უპრეცედენტო ნაბიჯი, ასევე გამოუშვა განახლებები საბოლოო მხარდაჭერის პროდუქტებისთვის (Windows XP, Windows Server 2003 და Windows 8) 13 მაისს.

WannaCry ვირუსის გავრცელება

ვირუსი შეიძლება გავრცელდეს სხვადასხვა გზით:

  • ერთიანი კომპიუტერული ქსელის მეშვეობით;
  • ფოსტით;
  • ბრაუზერის საშუალებით.

პირადად მე არ მესმის, რატომ არ სკანირებს ქსელის კავშირი ანტივირუსით. ინფექციის იგივე მეთოდი, როგორც ვებსაიტის ან ბრაუზერის მონახულება, ადასტურებს დეველოპერების უმწეობას და რომ მოთხოვნილი თანხები ლიცენზირებული პროგრამული უზრუნველყოფისთვის კომპიუტერის დასაცავად არანაირად არ არის გამართლებული.

ინფექციის სიმპტომები და ვირუსის მკურნალობა

მომხმარებლის კომპიუტერზე წარმატებული ინსტალაციის შემდეგ, WannaCry ცდილობს გავრცელდეს ლოკალურ ქსელში სხვა კომპიუტერებზე, როგორც ჭია. დაშიფრული ფაილები იღებენ სისტემის გაფართოებას .WCRY და ხდება სრულიად წაუკითხავი და შეუძლებელია მათი გაშიფვრა თავად. სრული დაშიფვრის შემდეგ, Wcry ცვლის დესკტოპის ფონს და ტოვებს „ინსტრუქციებს“ ფაილების გაშიფვრისთვის საქაღალდეებში დაშიფრული მონაცემებით.

თავდაპირველად ჰაკერებმა გაშიფვრის გასაღებებისთვის 300 დოლარი გამოსძალეს, მაგრამ შემდეგ ეს მაჩვენებელი 600 დოლარამდე გაზარდეს.

როგორ ავიცილოთ თავიდან თქვენი კომპიუტერის დაინფიცირება WannaCry Decryptor ransomware-ით?

ჩამოტვირთეთ ოპერაციული სისტემის განახლება Microsoft-ის ვებსაიტიდან.

Რა უნდა ვქნათქვენი კომპიუტერი ინფიცირებულია?

გამოიყენეთ ქვემოთ მოცემული ინსტრუქციები, რათა სცადოთ ინფიცირებული კომპიუტერის ზოგიერთი ინფორმაციის აღდგენა. განაახლეთ ანტივირუსი და დააინსტალირეთ ოპერაციული სისტემის პაჩი. ამ ვირუსის დეშიფრატორი ჯერ კიდევ არ არსებობს ბუნებაში. ჩვენ კატეგორიულად არ გირჩევთ თავდამსხმელებისთვის გამოსასყიდის გადახდას - არ არსებობს გარანტია, თუნდაც ოდნავი, რომ ისინი გაშიფვრავენ თქვენს მონაცემებს გამოსასყიდის მიღების შემდეგ.

წაშალეთ WannaCry ransomware ავტომატური გამწმენდის გამოყენებით

ზოგადად მავნე პროგრამებთან და კონკრეტულად გამოსასყიდ პროგრამებთან მუშაობის უკიდურესად ეფექტური მეთოდი. დადასტურებული დამცავი კომპლექსის გამოყენება გარანტირებულია ნებისმიერი ვირუსული კომპონენტის საფუძვლიან გამოვლენასა და მათ სრულ მოცილებას ერთი დაწკაპუნებით. გთხოვთ გაითვალისწინოთ, რომ ჩვენ ვსაუბრობთ ორ განსხვავებულ პროცესზე: ინფექციის დეინსტალაცია და ფაილების აღდგენა თქვენს კომპიუტერში. თუმცა, საფრთხე, რა თქმა უნდა, უნდა მოიხსნას, რადგან არსებობს ინფორმაცია მისი გამოყენებით სხვა კომპიუტერული ტროიანების დანერგვის შესახებ.

  1. ჩამოტვირთეთ WannaCry ვირუსის მოცილების პროგრამა. პროგრამის დაწყების შემდეგ დააჭირეთ ღილაკს დაიწყეთ კომპიუტერის სკანირება(დაიწყეთ სკანირება). ჩამოტვირთეთ გამოსასყიდის მოხსნის პროგრამა WannaCry .
  2. დაინსტალირებული პროგრამა უზრუნველყოფს ანგარიშს სკანირების დროს აღმოჩენილი საფრთხეების შესახებ. ყველა აღმოჩენილი საფრთხის მოსაშორებლად, აირჩიეთ ვარიანტი Საფრთხეების აღმოფხვრა(მუქარის აღმოფხვრა). აღნიშნული მავნე პროგრამა მთლიანად წაიშლება.

აღადგინეთ წვდომა დაშიფრულ ფაილებზე

როგორც აღინიშნა, no_more_ransom ransomware ბლოკავს ფაილებს დაშიფვრის ძლიერი ალგორითმის გამოყენებით, ისე, რომ დაშიფრული მონაცემების აღდგენა შეუძლებელია ჯადოსნური ჯოხის ტალღით - გარდა იმისა, რომ გადაიხადოს გაუგონარი თანხა. მაგრამ ზოგიერთი მეთოდი ნამდვილად შეიძლება იყოს მაშველი, რომელიც დაგეხმარებათ მნიშვნელოვანი მონაცემების აღდგენაში. ქვემოთ შეგიძლიათ გაეცნოთ მათ.

ფაილების ავტომატური აღდგენის პროგრამა (გაშიფვრა)

ცნობილია ძალიან უჩვეულო გარემოება. ეს ინფექცია შლის ორიგინალ ფაილებს დაშიფრული ფორმით. ამგვარად, დაშიფვრის პროცესი გამოძალვის მიზნით მიზნად ისახავს მათ ასლებს. ეს შესაძლებელს ხდის პროგრამულ უზრუნველყოფას, როგორიცაა მონაცემთა აღდგენის პროაღადგინეთ წაშლილი ობიექტები, მაშინაც კი, თუ მათი ამოღების საიმედოობა გარანტირებულია. რეკომენდირებულია მიმართოთ ფაილის აღდგენის პროცედურას, მისი ეფექტურობა ეჭვგარეშეა.

ტომების ჩრდილოვანი ასლები

მიდგომა ეფუძნება Windows ფაილის სარეზერვო პროცესს, რომელიც მეორდება აღდგენის თითოეულ წერტილში. ამ მეთოდის მუშაობის მნიშვნელოვანი პირობა: "სისტემის აღდგენის" ფუნქცია უნდა იყოს გააქტიურებული ინფექციის წინ. თუმცა, აღდგენის წერტილის შემდეგ შეტანილი ფაილში ნებისმიერი ცვლილება არ გამოჩნდება ფაილის აღდგენილ ვერსიაში.

სარეზერვო

ეს საუკეთესოა ყველა არაგამოსყიდვის მეთოდს შორის. თუ გარე სერვერზე მონაცემების სარეზერვო ასლის შექმნის პროცედურა გამოიყენებოდა თქვენს კომპიუტერზე გამოსასყიდი პროგრამის შეტევამდე, დაშიფრული ფაილების აღსადგენად უბრალოდ უნდა შეიყვანოთ შესაბამისი ინტერფეისი, შეარჩიოთ საჭირო ფაილები და გაუშვათ მონაცემთა აღდგენის მექანიზმი სარეზერვოდან. ოპერაციის შესრულებამდე უნდა დარწმუნდეთ, რომ გამოსასყიდი პროგრამა მთლიანად ამოღებულია.

შეამოწმეთ WannaCry გამოსასყიდის შესაძლო ნარჩენი კომპონენტები

ხელით გაწმენდა რისკავს დაკარგავს გამოსასყიდი პროგრამის ცალკეულ ნაწილებს, რომლებიც შეიძლება არ მოიხსნას, როგორც ფარული ოპერაციული სისტემის ობიექტები ან რეესტრის ელემენტები. ცალკეული მავნე ელემენტების ნაწილობრივი შეკავების რისკის აღმოსაფხვრელად, დაასკანირეთ თქვენი კომპიუტერი საიმედო უსაფრთხოების პროგრამული პაკეტის გამოყენებით, რომელიც სპეციალიზირებულია მავნე პროგრამულ უზრუნველყოფაში.

დეკოდირება

მაგრამ არ არსებობს ინფორმაცია მათგან, ვინც გადაიხადა გაშიფვრისთვის, ისევე როგორც არ არის ინფორმაცია ჰაკერების განზრახვაზე, დაამშვიდონ ხალხის სული და გადახდის შემდეგ ინფორმაცია გაშიფრონ ((((

მაგრამ ჰაბზე იყო ინფორმაცია Decrypt ღილაკის მუშაობის პრინციპის შესახებ, ისევე როგორც ის ფაქტი, რომ თავდამსხმელებს არ აქვთ საშუალება იდენტიფიცირონ მომხმარებლები, რომლებმაც გაგზავნეს ბიტკოინები, რაც ნიშნავს, რომ არავინ არაფერს აღადგენს მსხვერპლს:

„კრიპტორი ქმნის ორ ტიპის ფაილს: პირველი, ზოგიერთი ნაწილი დაშიფრულია 128-ბიტიანი AES-ის გამოყენებით და გენერირებული გაშიფვრის გასაღები პირდაპირ დაშიფრულ ფაილს ემატება. ამ გზით დაშიფრულ ფაილებს ეძლევა გაფართოება .wncyrდა ეს არის ის, რაც შემდეგ ხდება გაშიფვრა, როდესაც დააჭირეთ Decrypt-ზე. დაშიფრული ნივთების უმეტესი ნაწილი იღებს გაფართოებას .იყვირადა გასაღები აღარ არის.
ამ შემთხვევაში, დაშიფვრა არ ხდება თავად ფაილში, არამედ ჯერ იქმნება ფაილი დისკზე, სადაც განთავსებულია დაშიფრული შინაარსი და შემდეგ იშლება ორიგინალი ფაილი. შესაბამისად, გარკვეული პერიოდის განმავლობაში არსებობს მონაცემების ნაწილის აღდგენის შესაძლებლობა სხვადასხვა წაშლილი კომუნალური საშუალებების გამოყენებით.
ასეთ კომუნალურებთან საბრძოლველად, კრიპტორი მუდმივად წერს ყველა სახის ნაგავს დისკზე, ასე რომ დისკზე ადგილი საკმაოდ სწრაფად მოიხმარება.
მაგრამ რატომ ჯერ კიდევ არ არის ინფორმაცია გადახდის და მისი გადამოწმების მექანიზმების შესახებ, ნამდვილად გასაკვირია. შესაძლოა, საკმაოდ სოლიდური თანხა (300 დოლარი), რომელიც საჭიროა ასეთი შემოწმებისთვის, იქონიოს გავლენა. ”

WannaCry ვირუსის შემქმნელებმა გვერდი აუარეს დროებით დაცვას უაზრო დომენის სახით

WannaCry ransomware ვირუსის შემქმნელებმა, რომელმაც 70-ზე მეტი ქვეყნის კომპიუტერები დააზარალა, მისი ახალი ვერსია გამოუშვეს. მას აკლია კოდი უაზრო დომენზე წვდომისთვის, რომელიც გამოიყენებოდა ორიგინალური ვირუსის გავრცელების თავიდან ასაცილებლად, წერს Motherboard. გამოცემამ მიიღო ვირუსის ახალი ვერსიის გაჩენის დადასტურება ორი სპეციალისტისგან, რომლებიც სწავლობდნენ კომპიუტერული ინფექციის ახალ შემთხვევებს. ერთ-ერთი მათგანია კოსტინ რაიუ, კასპერსკის ლაბორატორიის საერთაშორისო კვლევითი ჯგუფის ხელმძღვანელი.

ექსპერტებმა არ დააკონკრეტეს, გამოჩნდა თუ არა რაიმე სხვა ცვლილება WannaCry-ში.

ამ კიბერშეტევას უკვე უწოდეს ისტორიაში ყველაზე დიდი. 70-ზე მეტი ქვეყანა, ათიათასობით ინფიცირებული კომპიუტერი. გამოსასყიდი პროგრამის ვირუსი სახელად Wanna Cry („ტირილი მინდა“) არავის ზოგავს. საავადმყოფოები, რკინიგზა, სამთავრობო უწყებები თავდასხმის ქვეშ არიან.

რუსეთში თავდასხმა ყველაზე მასშტაბური იყო. შეტყობინებები, რომლებიც ახლა მოდის, ჰგავს ანგარიშებს კომპიუტერის ფრონტზე. ბოლოდან: რუსეთის რკინიგზამ განაცხადა, რომ ვირუსი ცდილობდა მათ IT სისტემაში შეღწევას, ის უკვე ლოკალიზებულია და მის განადგურებას ცდილობენ. ჰაკერების მცდელობებზე ასევე ისაუბრეს ცენტრალურმა ბანკმა, შინაგან საქმეთა სამინისტრომ, საგანგებო სიტუაციების სამინისტრომ და საკომუნიკაციო კომპანიებმა.

ასე გამოიყურება ვირუსი, რომელიც პარალიზებს ათიათასობით კომპიუტერს მთელს მსოფლიოში. მკაფიო ინტერფეისი და ტექსტი ათობით ენაზე თარგმნილი - "თქვენ მხოლოდ სამი დღე გაქვთ გადასახდელი". მავნე პროგრამა, რომელიც შიფრავს ფაილებს, მათი განბლოკვისთვის საჭიროებს, სხვადასხვა წყაროების მიხედვით, 300-დან 600 დოლარამდე. მხოლოდ კიბერვალუტაში. შანტაჟი ფაქტიურად სიცოცხლისა და სიკვდილის ზღვარზეა.

”მე სრულიად მზად ვიყავი ოპერაციისთვის, მათ ჩასვეს კიდეც IV, შემდეგ კი ქირურგი მოდის და ამბობს, რომ კიბერშეტევის გამო აპარატურაზე პრობლემები აქვთ”, - ამბობს პატრიკ უორდი.

კომპიუტერული ვირუსის საწინააღმდეგო ვაქცინა არ იქნა ნაპოვნი არც ორმოც ბრიტანულ კლინიკაში, რომლებზეც პირველი თავდასხმა მოხდა და არც უმსხვილეს ესპანურ სატელეკომუნიკაციო კომპანია „ტელეფონიკაში“. ექსპერტების თქმით, მსოფლიო ისტორიაში ერთ-ერთი ყველაზე დიდი ჰაკერული თავდასხმის კვალი რჩება გერმანიაში მატარებლის სადგურის ჩვენებებზეც კი. გერმანული რკინიგზის გადამზიდავი Deutsche Bahn-ის შვიდი საკონტროლო ცენტრიდან ერთ-ერთში კონტროლის სისტემა ჩაიშალა. შედეგები შეიძლება იყოს კატასტროფული.

მთლიანობაში კიბერშეტევების მსხვერპლი უკვე 74 ქვეყანა გახდა. ხელშეუხებელი დარჩა მხოლოდ აფრიკა და რამდენიმე სახელმწიფო აზიისა და ლათინური ამერიკის. მართლა მხოლოდ ახლაა?

„ეს ყველაფერი კეთდება ორგანიზებული დანაშაულისთვის ფულის გამომუშავებისთვის. არ არსებობს პოლიტიკური დღის წესრიგი ან ფარული მოტივი. სუფთა შანტაჟი“, - ამბობს IT კომპანიის ანტივირუსული ექსპერტი ბენ რაპი.

თუმცა, ბრიტანულმა მედიამ მაშინვე აღმოაჩინა პოლიტიკური მოტივი. და ისინი ყველაფერში რუს ჰაკერებს ადანაშაულებდნენ, თუმცა ყოველგვარი მტკიცებულების გარეშე, კიბერშეტევას სირიაში ამერიკის საჰაერო თავდასხმას უკავშირებდნენ. სავარაუდოდ, გამოსასყიდი ვირუსი მოსკოვის შურისძიება გახდა. ამავე დროს, იგივე ბრიტანული მედიის ცნობით, ამ თავდასხმაში ყველაზე მეტად რუსეთი დაზარალდა. და აბსოლუტურად რთულია ამაზე კამათი. მხოლოდ შსს-ში ათასზე მეტი კომპიუტერი დაესხნენ თავს. თუმცა, უშედეგოდ.

ჩვენ მოვიგერეთ თავდასხმები საგანგებო სიტუაციების სამინისტროსა და ჯანდაცვის სამინისტროში, სბერბანკსა და მეგაფონზე. მობილურმა ოპერატორმა ქოლ-ცენტრის მუშაობაც კი გარკვეული დროით შეაჩერა.

„პრეზიდენტის ბრძანებულება ქსელის რუსული სეგმენტის შექმნის შესახებ არის დახურული ინტერნეტი ხელისუფლების წარმომადგენლების გარშემო. ამ ფარის უკან დიდი ხანია იდგა თავდაცვის ინდუსტრია. დიდი ალბათობით, ვფიქრობ, დაზარალდა ჩვეულებრივი თანამშრომლების უბრალო კომპიუტერები. ნაკლებად სავარაუდოა, რომ დაზარალდა მონაცემთა ბაზებზე წვდომა - ისინი, როგორც წესი, სხვა ოპერაციულ სისტემებზე არიან და ჩვეულებრივ პროვაიდერებთან არიან განთავსებული“, - თქვა რუსეთის პრეზიდენტის მრჩეველმა ინტერნეტის განვითარების საკითხებში გერმან კლიმენკომ.

პროგრამა, ანტივირუსის დეველოპერების თქმით, აინფიცირებს კომპიუტერს, თუ მომხმარებელმა გახსნა საეჭვო წერილი და ჯერ არ განახლებული Windows. ეს აშკარად ჩანს სერიოზულად დაზარალებული ჩინეთის მაგალითზე - შუა სამეფოს მცხოვრებლებს, როგორც მოგეხსენებათ, განსაკუთრებული სიყვარული აქვთ მეკობრული ოპერაციული სისტემების მიმართ. მაგრამ ღირს თუ არა გადახდა, მაუსის დაუფიქრებლად დაწკაპუნებით, ისინი აინტერესებთ მთელ მსოფლიოში

„თუ კომპანიას არ აქვს სარეზერვო საშუალება, მათ შეიძლება დაკარგონ წვდომა მონაცემებზე. ანუ, მაგალითად, თუ საავადმყოფო პაციენტების მონაცემთა ბაზა სამედიცინო ისტორიებთან ერთად ინახება ერთ ეგზემპლარად ამ სერვერზე, სადაც ვირუსი შევიდა, საავადმყოფო აღარ აღადგენს ამ მონაცემებს არანაირად“, - ამბობს კიბერუსაფრთხოების ექსპერტი ილია სკაჩკოვი. .

ჯერჯერობით, როგორც ბლოგერებმა გაარკვიეს, თაღლითების ელექტრონულ საფულეში ოთხი ათას დოლარზე მეტი არ არის. წვრილმანი, მსხვერპლთა სიის გათვალისწინებით - მათი მყარი დისკების გატეხვის ხარჯები აშკარად არ არის შედარებული. Financial Times-ის ბრიტანული გამოცემა ვარაუდობს, რომ ransomware ვირუსი სხვა არაფერია, თუ არა აშშ-ის ეროვნული უსაფრთხოების სააგენტოს მავნე პროგრამა, რომელიც შეცვლილია თავდამსხმელების მიერ. ოდესღაც იგი შეიქმნა დახურულ ამერიკულ სისტემებში შეღწევის მიზნით. ეს მისმა ყოფილმა თანამშრომელმა ედვარდ სნოუდენმაც დაადასტურა.

სნოუდენის Twitter-დან: "ვაუ, NSA-ს გადაწყვეტილება შექმნას თავდასხმის ინსტრუმენტები აშშ-ს პროგრამული უზრუნველყოფის წინააღმდეგ, ახლა საფრთხეში აყენებს საავადმყოფოების პაციენტების სიცოცხლეს."

თუმცა WikiLeaks-მა ასევე არაერთხელ გააფრთხილა, რომ მთელი მსოფლიოს მონიტორინგის მანიაკალური სურვილის გამო, ამერიკული სადაზვერვო სააგენტოები ავრცელებენ მავნე პროგრამებს. მაგრამ მაშინაც კი, თუ ეს ასე არ არის, ის აჩენს კითხვებს იმის შესახებ, თუ როგორ მთავრდება NSA პროგრამები თავდამსხმელების ხელში. სხვა რამ არის საინტერესო. კიდევ ერთი ამერიკული სადაზვერვო სააგენტო, შიდა უსაფრთხოების დეპარტამენტი, გვთავაზობს მსოფლიოს გადარჩენას ვირუსისგან.

როგორც არ უნდა იყოს, ამ თავდასხმის რეალური მასშტაბები შესაფასებელია. კომპიუტერების ინფიცირება მთელ მსოფლიოში გრძელდება. აქ მხოლოდ ერთი "ვაქცინაა" - სიფრთხილე და წინდახედულობა. მნიშვნელოვანია, რომ არ გახსნათ საეჭვო დანართები. ამავდროულად, ექსპერტები აფრთხილებენ: წინ კიდევ იქნება. კიბერშეტევების სიხშირე და მასშტაბები მხოლოდ გაიზრდება.

დღეს, ალბათ, მხოლოდ ინტერნეტიდან ძალიან შორს მყოფმა ადამიანებმა არ იციან 2017 წლის 12 მაისს 2017 წლის 12 მაისს დაშიფრული WannaCry („მე მინდა ვიტირო“) კომპიუტერების მასობრივი ინფექციის შესახებ. და მცოდნეების რეაქციას დავყოფ 2 საპირისპირო კატეგორიად: გულგრილობა და პანიკა. Რას ნიშნავს ეს?

და ის ფაქტი, რომ ფრაგმენტული ინფორმაცია არ იძლევა სიტუაციის სრულყოფილ გაგებას, იწვევს სპეკულაციას და ტოვებს უფრო მეტ კითხვას, ვიდრე პასუხებს. იმისათვის, რომ გავიგოთ, რა ხდება სინამდვილეში, ვის და რას ემუქრება, როგორ დაიცვათ თავი ინფექციისგან და როგორ გაშიფროთ WannaCry-ით დაზიანებული ფაილები, დღევანდელი სტატია მას ეძღვნება.

მართლა ასეთი საშინელია „ეშმაკი“?

არ მესმის, რაზეა მთელი აურზაურიWannaCry? ბევრი ვირუსია, ახლები მუდმივად ჩნდება. რა არის ეს განსაკუთრებული?

WannaCry (სხვა სახელები WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) არ არის ჩვეულებრივი კიბერ მავნე პროგრამა. მისი ცნობადობის მიზეზი მიყენებული გიგანტური ზარალია. ევროპოლის მონაცემებით, მან შეაფერხა 200 000-ზე მეტი კომპიუტერი, რომელიც მუშაობს Windows-ზე 150 ქვეყანაში და მათი მფლობელების ზარალმა შეადგინა $1,000,000,000-ზე მეტი და ეს მხოლოდ განაწილების პირველ 4 დღეში. დაღუპულთა უმეტესობა რუსეთსა და უკრაინაშია.

მე ვიცი, რომ ვირუსები პერსონალურ კომპიუტერებში ზრდასრულთა ვებსაიტებიდან შედიან. მე არ ვსტუმრობ ასეთ რესურსებს, ამიტომ საფრთხე არ მემუქრება.

Ვირუსი? მეც მაქვს პრობლემა. როცა ჩემს კომპიუტერში ვირუსები ჩნდება, *** უტილიტს ვუშვებ და ნახევარი საათის შემდეგ ყველაფერი კარგადაა. და თუ ეს არ დაეხმარება, მე ხელახლა დავაინსტალირე Windows.

ვირუსი განსხვავდება ვირუსისგან. WannaCry არის ტროას გამოსასყიდი პროგრამა, ქსელის ჭია, რომელიც შეიძლება გავრცელდეს ადგილობრივი ქსელებისა და ინტერნეტის მეშვეობით ერთი კომპიუტერიდან მეორეზე ადამიანის ჩარევის გარეშე.

მავნე პროგრამების უმეტესობა, მათ შორის გამოსასყიდი, იწყებს მუშაობას მხოლოდ მას შემდეგ, რაც მომხმარებელი „ჩაყლაპავს სატყუარას“, ანუ დააჭერს ბმულს, ხსნის ფაილს და ა.შ. WannaCry-ით დაინფიცირებისთვის, საერთოდ არაფრის გაკეთება არ გჭირდებათ!

ერთხელ Windows კომპიუტერზე, მავნე პროგრამა მოკლე დროში შიფრავს მომხმარებლის ფაილების დიდ ნაწილს, რის შემდეგაც ის აჩვენებს შეტყობინებას 300-600 აშშ დოლარის გამოსასყიდის მოთხოვნით, რომელიც უნდა გადაიტანოს მითითებულ საფულეში 3 დღის განმავლობაში. დაგვიანების შემთხვევაში ის იმუქრება, რომ 7 დღეში ფაილების გაშიფვრა შეუძლებელი გახდება.

ამავდროულად, მავნე პროგრამა ეძებს ხარვეზებს სხვა კომპიუტერებში შესაღწევად და თუ აღმოაჩენს, აინფიცირებს მთელ ლოკალურ ქსელს. ეს ნიშნავს, რომ მეზობელ მანქანებზე შენახული ფაილების სარეზერვო ასლებიც გამოუსადეგარი ხდება.

კომპიუტერიდან ვირუსის ამოღება ფაილების გაშიფვრას არ ახდენს!ასევე ოპერაციული სისტემის ხელახალი ინსტალაცია. პირიქით, თუ დაინფიცირებულია გამოსასყიდი პროგრამით, ორივე ამ მოქმედებამ შეიძლება მოგაკლოთ ფაილების აღდგენის შესაძლებლობა მაშინაც კი, თუ თქვენ გაქვთ სწორი გასაღები.

ასე რომ, დიახ, "ჯანდაბა" საკმაოდ საშინელია.

როგორ ვრცელდება WannaCry

Იტყუები. ვირუსი შეიძლება მოხვდეს ჩემს კომპიუტერში მხოლოდ იმ შემთხვევაში, თუ მე თვითონ გადმოვწერ. და მე ფხიზლად ვარ.

ბევრ მავნე პროგრამას შეუძლია დაინფიციროს კომპიუტერები (სხვათა შორის, მობილური მოწყობილობებიც) დაუცველობით - შეცდომები ოპერაციული სისტემის კომპონენტებისა და პროგრამების კოდში, რაც კიბერ თავდამსხმელებს შესაძლებლობას აძლევს გამოიყენონ დისტანციური მანქანა საკუთარი მიზნებისთვის. WannaCry, კერძოდ, ვრცელდება 0-დღიანი დაუცველობით SMB პროტოკოლში (ნულოვანი დღის დაუცველობა არის შეცდომები, რომლებიც არ იყო დაფიქსირებული იმ დროს, როდესაც ისინი გამოიყენეს მავნე პროგრამის/შშუშური პროგრამის მიერ).

ანუ კომპიუტერის გამოსასყიდის ჭიით დაინფიცირებისთვის საკმარისია ორი პირობა:

  • კავშირები ქსელთან, სადაც არის სხვა ინფიცირებული მანქანები (ინტერნეტი).
  • სისტემაში ზემოაღწერილი ხარვეზის არსებობა.

საიდან გაჩნდა ეს ინფექცია? ეს რუსი ჰაკერების საქმეა?

ზოგიერთი ცნობით (მე არ ვარ პასუხისმგებელი ავთენტურობაზე), აშშ-ს ეროვნული უსაფრთხოების სააგენტო იყო პირველი, ვინც აღმოაჩინა ხარვეზი SMB ქსელის პროტოკოლში, რომელიც გამოიყენება Windows-ში ფაილებზე და პრინტერებზე ლეგალური დისტანციური წვდომისთვის. იმის ნაცვლად, რომ ეცნობებინათ Microsoft-ისთვის, რათა მათ შეცდომის გამოსწორება შეძლონ, NSA-მ გადაწყვიტა თავად გამოეყენებინა იგი და შეიმუშავა ამისთვის ექსპლოიტი (პროგრამა, რომელიც იყენებს დაუცველობას).

WannaCry განაწილების დინამიკის ვიზუალიზაცია ვებსაიტზე intel.malwaretech.com

შემდგომში, ეს ექსპლოიტი (კოდური სახელით EternalBlue), რომელიც გარკვეული პერიოდის განმავლობაში ემსახურებოდა NSA-ს კომპიუტერებში შეღწევას მფლობელების ცოდნის გარეშე, მოიპარეს ჰაკერებმა და საფუძვლად დაედო WannaCry გამოსასყიდი პროგრამის შექმნას. ანუ, აშშ-ს სამთავრობო სააგენტოს არა მთლად ლეგალური და ეთიკური ქმედებების წყალობით, ვირუსის ავტორებმა შეიტყვეს დაუცველობის შესახებ.

მე გამოვრთე განახლებების ინსტალაციაფანჯრები. რისთვის არის საჭირო, როცა ყველაფერი მათ გარეშე მუშაობს.

ეპიდემიის ასეთი სწრაფი და ფართო გავრცელების მიზეზი იყო იმ დროს „პაჩის“ არარსებობა - Windows-ის განახლება, რომელსაც შეეძლო Wanna Cry ხვრელის დახურვა. ყოველივე ამის შემდეგ, მის განვითარებას დრო დასჭირდა.

დღეს ასეთი პაჩი არსებობს. მომხმარებლებმა, რომლებიც განაახლეს სისტემას, ავტომატურად მიიღეს იგი გამოშვების პირველ საათებში. და ვინც თვლის, რომ განახლებები არ არის საჭირო, კვლავ ინფექციის რისკის ქვეშ არიან.

ვის ემუქრება WannaCry თავდასხმა და როგორ დავიცვათ თავი

რამდენადაც ვიცი, კომპიუტერების 90%-ზე მეტი ინფიცირებულიაWannaCry, ოპერატორიWindows 7. მე მაქვს "ათ", რაც ნიშნავს, რომ საფრთხე არ მემუქრება.

ყველა ოპერაციული სისტემა, რომელიც იყენებს SMB v1 ქსელის პროტოკოლს, მგრძნობიარეა WannaCry ინფექციის მიმართ. ეს:

  • Windows XP
  • Windows Vista
  • Windows 7
  • ვინდოუს 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

დღეს, სისტემების მომხმარებლები, რომლებზეც ის არ არის დაინსტალირებული (ხელმისაწვდომია უფასო ჩამოტვირთვა ვებსაიტიდან technet.microsoft.com, რომლის ბმული მოცემულია) ქსელში მავნე პროგრამების დაჭერის რისკის ქვეშ არიან. Windows XP, Windows Server 2003, Windows 8 და სხვა მხარდაჭერილი ოპერაციული სისტემების პატჩების ჩამოტვირთვა შესაძლებელია. იგი ასევე აღწერს გზებს სიცოცხლის გადარჩენის განახლების არსებობის შესამოწმებლად.

თუ არ იცით ოპერაციული სისტემის ვერსია თქვენს კომპიუტერზე, დააჭირეთ Win+R კლავიშების კომბინაციას და გაუშვით winver ბრძანება.

უსაფრთხოების გასაძლიერებლად და თუ შეუძლებელია სისტემის განახლება ახლა, Microsoft გვაწვდის ინსტრუქციებს SMB პროტოკოლის 1-ლი ვერსიის დროებით გამორთვის შესახებ. ისინი მდებარეობს და. დამატებით, მაგრამ არა აუცილებლად, შეგიძლიათ დახუროთ TCP პორტი 445, რომელიც ემსახურება SMB-ს, firewall-ის მეშვეობით.

მე მაქვს მსოფლიოში საუკეთესო ანტივირუსი ***, ამით ყველაფერი შემიძლია და არაფრის მეშინია.

WannaCry-ის გავრცელება შეიძლება მოხდეს არა მხოლოდ ზემოთ აღწერილი თვითმავალი მეთოდით, არამედ ჩვეულებრივი გზებით - სოციალური ქსელებით, ელექტრონული ფოსტით, ინფიცირებული და ფიშინგური ვებ რესურსებით და ა.შ. და არის ასეთი შემთხვევები. თუ თქვენ ჩამოტვირთავთ და გაუშვით მავნე პროგრამას ხელით, არც ანტივირუსი და არც პატჩები, რომლებიც ხურავს დაუცველობას, არ გიშველის ინფექციისგან.

როგორ მუშაობს ვირუსი, რას შიფრავს

დიახ, დაე, დაშიფროს ის, რაც მას სურს. მყავს მეგობარი პროგრამისტი, ყველაფერს გამიშიფრავს. როგორც ბოლო საშუალება, ჩვენ ვიპოვით გასაღებს უხეში ძალის გამოყენებით.

ისე, ის შიფრავს რამდენიმე ფაილს, მერე რა? ეს ხელს არ შემიშლის კომპიუტერზე მუშაობაში.

სამწუხაროდ, ის არ გაშიფრავს, რადგან არ არსებობს RSA-2048 დაშიფვრის ალგორითმის გატეხვის გზები, რომელსაც Wanna Cry იყენებს და არ გამოჩნდება უახლოეს მომავალში. და ის დაშიფვრავს არა მხოლოდ რამდენიმე ფაილს, არამედ თითქმის ყველაფერს.

მე არ მოგაწოდებთ მავნე პროგრამის მოქმედების დეტალურ აღწერას, ნებისმიერ მსურველს შეუძლია წაიკითხოს მისი ანალიზი, მაგალითად. მე აღვნიშნავ მხოლოდ ყველაზე მნიშვნელოვან მომენტებს.

ფაილები შემდეგი გაფართოებებით დაშიფრულია: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .სარეზერვო, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

როგორც ხედავთ, აქ არის დოკუმენტები, ფოტოები, ვიდეო-აუდიო, არქივები, ფოსტა და ფაილები შექმნილი სხვადასხვა პროგრამებში... მავნე პროგრამა ცდილობს მიაღწიოს სისტემის ყველა დირექტორიას.

დაშიფრული ობიექტები იღებენ ორმაგ გაფართოებას პოსტსკრიპტით WNCRY, მაგალითად, "Document1.doc.WNCRY".

დაშიფვრის შემდეგ, ვირუსი აკოპირებს შესრულებად ფაილს თითოეულ საქაღალდეში @[ელფოსტა დაცულია] - სავარაუდოდ გამოსასყიდის შემდეგ გაშიფვრისთვის, ასევე ტექსტური დოკუმენტისთვის @[ელფოსტა დაცულია] მესიჯით მომხმარებლისთვის.

შემდეგი, ის ცდილობს გაანადგუროს ჩრდილოვანი ასლები და Windows აღდგენის წერტილები. თუ UAC მუშაობს სისტემაზე, მომხმარებელმა უნდა დაადასტუროს ეს ოპერაცია. თუ თქვენ უარს იტყვით მოთხოვნაზე, ჯერ კიდევ არსებობს ასლების მონაცემების აღდგენის შესაძლებლობა.

WannaCry გადასცემს დაზარალებული სისტემის დაშიფვრის გასაღებებს Tor ქსელში მდებარე ბრძანების ცენტრებს, რის შემდეგაც ის შლის მათ კომპიუტერიდან. სხვა დაუცველი მანქანების მოსაძებნად, ის სკანირებს ლოკალურ ქსელს და თვითნებურ IP დიაპაზონს ინტერნეტში და, როგორც კი აღმოაჩენს, აღწევს ყველაფერში, რისი მიღწევაც შეუძლია.

დღეს ანალიტიკოსებმა იციან WannaCry-ის რამდენიმე მოდიფიკაციის შესახებ სხვადასხვა განაწილების მექანიზმებით და ჩვენ უნდა ველოდოთ ახლის გამოჩენას უახლოეს მომავალში.

რა უნდა გააკეთოთ, თუ WannaCry-მ უკვე დააინფიცირა თქვენი კომპიუტერი

მე ვხედავ ფაილებს, რომლებიც ცვლის გაფართოებებს. Რა ხდება? როგორ შევაჩეროთ ეს?

დაშიფვრა არ არის ერთჯერადი პროცესი, თუმცა მას არც ისე დიდი დრო სჭირდება. თუ თქვენ მოახერხეთ ამის შემჩნევა, სანამ გამოსასყიდი პროგრამის შეტყობინება გამოჩნდება თქვენს ეკრანზე, შეგიძლიათ შეინახოთ ზოგიერთი ფაილი კომპიუტერის დენის დაუყოვნებლივ გამორთვით. არა სისტემის გათიშვით, არამედ შტეფსელიდან ამოღებით!

როდესაც Windows ჩაიტვირთება ნორმალურ რეჟიმში, დაშიფვრა გაგრძელდება, ამიტომ მნიშვნელოვანია ამის თავიდან აცილება. კომპიუტერის შემდეგი დაწყება უნდა მოხდეს ან უსაფრთხო რეჟიმში, რომელშიც ვირუსები არ არის აქტიური, ან სხვა ჩამტვირთავი მედიიდან.

ჩემი ფაილები დაშიფრულია! ვირუსი მათ გამოსასყიდს ითხოვს! რა უნდა გავაკეთოთ, როგორ გავშიფროთ?

ფაილების გაშიფვრა WannaCry-ის შემდეგ შესაძლებელია მხოლოდ იმ შემთხვევაში, თუ თქვენ გაქვთ საიდუმლო გასაღები, რომელსაც თავდამსხმელები გპირდებიან, რომ მიაწვდიან მას, როგორც კი მსხვერპლი გადასცემს გამოსასყიდის თანხას. თუმცა, ასეთი დაპირებები თითქმის არასოდეს სრულდება: რატომ უნდა იწუხონ მავნე პროგრამების დისტრიბუტორები, თუ უკვე მიიღეს ის, რაც სურდათ?

ზოგიერთ შემთხვევაში, პრობლემის მოგვარება შესაძლებელია გამოსასყიდის გარეშე. დღემდე შემუშავებულია 2 WannaCry დეშიფრატორი: და . პირველი მუშაობს მხოლოდ Windows XP-ში, ხოლო მეორე, რომელიც შეიქმნა პირველის საფუძველზე, მუშაობს Windows XP, Vista და 7 x86, ასევე ჩრდილოეთ სისტემებში 2003, 2008 და 2008R2 x86.

ორივე დეშიფრატორის ოპერაციული ალგორითმი დაფუძნებულია დაშიფვრის პროცესის მეხსიერებაში საიდუმლო გასაღებების ძიებაზე. ეს ნიშნავს, რომ მხოლოდ მათ, ვისაც არ ჰქონდა დრო კომპიუტერის გადატვირთვისთვის, აქვს გაშიფვრის შანსი. და თუ დაშიფვრიდან არც ისე დიდი დროა გასული (მეხსიერება სხვა პროცესით არ არის გადაწერილი).

ასე რომ, თუ თქვენ ხართ Windows XP-7 x86-ის მომხმარებელი, პირველი, რაც უნდა გააკეთოთ გამოსასყიდის შეტყობინების გამოჩენის შემდეგ, არის თქვენი კომპიუტერის ლოკალური ქსელიდან და ინტერნეტიდან გათიშვა და სხვა მოწყობილობაზე ჩამოტვირთული WanaKiwi დეშიფრატორის გაშვება. გასაღების ამოღებამდე არ შეასრულოთ სხვა მოქმედებები კომპიუტერზე!

თქვენ შეგიძლიათ წაიკითხოთ WanaKiwi დეშიფრატორის მუშაობის აღწერა სხვაში.

ფაილების გაშიფვრის შემდეგ, გაუშვით ანტივირუსი მავნე პროგრამის მოსაშორებლად და დააინსტალირეთ პატჩი, რომელიც ხურავს მის განაწილების ბილიკებს.

დღეს WannaCry აღიარებულია თითქმის ყველა ანტივირუსული პროგრამის მიერ, გარდა მათგან, რომლებიც არ არის განახლებული, ასე რომ, თითქმის ნებისმიერი იქნება.

როგორ გავაგრძელოთ ეს ცხოვრება

ამ თვითმავალი ეპიდემიამ გააოცა მსოფლიო. ყველა სახის უსაფრთხოების სამსახურისთვის ეს ისეთივე მოულოდნელი აღმოჩნდა, როგორც ზამთრის დადგომა 1 დეკემბერს კომუნალური მუშაკებისთვის. მიზეზი დაუდევრობაა და შესაძლოა. შედეგები არის მონაცემთა გამოუსწორებელი დაკარგვა და ზიანი. და მავნე პროგრამის შემქმნელებისთვის ეს არის სტიმული, გააგრძელონ იგივე სულისკვეთებით.

ანალიტიკოსების აზრით, WanaCry-მ ძალიან კარგი დივიდენდები მოუტანა დისტრიბუტორებს, რაც ნიშნავს, რომ მსგავსი შეტევები განმეორდება. და ვინც ახლა გაიტაცა, სულაც არ გაიტაცებს მოგვიანებით. რა თქმა უნდა, თუ ამაზე წინასწარ არ ინერვიულებთ.

ასე რომ, დაშიფრულ ფაილებზე ტირილი აღარ მოგიწევთ:

  • უარს ნუ იტყვით ოპერაციული სისტემის და აპლიკაციის განახლებების ინსტალაციაზე. ეს დაგიცავთ იმ საფრთხეების 99%-ისგან, რომლებიც ვრცელდება დაუმუშავებელი დაუცველობის მეშვეობით.
  • გააგრძელე.
  • შექმენით მნიშვნელოვანი ფაილების სარეზერვო ასლები და შეინახეთ ისინი სხვა ფიზიკურ მედიაზე, ან კიდევ უკეთესი, რამდენიმეზე. კორპორატიულ ქსელებში ოპტიმალურია გამოიყენონ მონაცემთა განაწილებული მონაცემთა ბაზები სახლის მომხმარებლებს შეუძლიათ გამოიყენონ უფასო ღრუბლოვანი სერვისები, როგორიცაა Yandex Disk, Google Drive, OneDrive, MEGASynk და ა.შ.
  • აირჩიეთ საიმედო ოპერაციული სისტემები. Windows XP არ არის ასეთი.
  • მაგალითად, დააინსტალირეთ ყოვლისმომცველი Internet Security კლასის ანტივირუსი და დამატებითი დაცვა გამოსასყიდი პროგრამებისგან. ან სხვა დეველოპერების ანალოგები.
  • გაზარდეთ თქვენი წიგნიერების დონე გამოსასყიდის ტროასებთან დაპირისპირებაში. მაგალითად, ანტივირუსის გამყიდველმა Dr.Web-მა მოამზადა სხვადასხვა სისტემის მომხმარებლებისა და ადმინისტრატორებისთვის. ბევრი სასარგებლო და, რაც მთავარია, სანდო ინფორმაცია შეიცავს სხვა A/V დეველოპერების ბლოგებს.

და რაც მთავარია: თუნდაც დაზარალდეთ, არ გადაურიცხოთ ფული თავდამსხმელებს გაშიფვრისთვის. ალბათობა იმისა, რომ მოგატყუებთ არის 99%. მეტიც, თუ არავინ გადაიხდის, გამოძალვის ბიზნესი უაზრო გახდება. წინააღმდეგ შემთხვევაში, ასეთი ინფექციის გავრცელება მხოლოდ გაიზრდება.

ასევე საიტზე:

WannaCry ეპიდემია: პასუხები ხშირად დასმულ კითხვებზე და მომხმარებელთა მცდარი წარმოდგენების აღმოფხვრაგანახლებულია: 2017 წლის 27 მაისი: ჯონი მნემონიკი

Wanna Cry ვირუსში, ახალი ტიპის ჰაკერული შეტევა, მავნე გამოსასყიდი პროგრამა, აკანკალებდა კომპიუტერის და ინტერნეტის მომხმარებლებს მთელ მსოფლიოში. როგორ მუშაობს Wanna Cry ვირუსი, შესაძლებელია თუ არა მისგან თავის დაცვა და თუ ასეა, როგორ?

12 მაისს კომპიუტერები, რომლებიც მუშაობენ Windows ოპერაციულ სისტემებზე მთელს მსოფლიოში, ბოლო მეხსიერების ყველაზე მასშტაბურ თავდასხმას განიცდიდნენ. საუბარია Wanna Cry ვირუსზე (WNCRY, Wana Decrypt0r 2.0), რომელიც მიეკუთვნება Ransomware კლასს, ანუ მავნე გამოსასყიდ პროგრამას, რომელიც შიფრავს მომხმარებლის ფაილებს და ითხოვს გამოსასყიდს მათზე წვდომის აღსადგენად. ამ შემთხვევაში საუბარია 300-დან 600 დოლარამდე თანხებზე, რომლებიც მსხვერპლმა უნდა გადაიტანოს კონკრეტულ საფულეში ბიტკოინებში. გამოსასყიდის ზომა დამოკიდებულია ინფექციის მომენტიდან გასულ დროზე - გარკვეული ინტერვალის შემდეგ ის იზრდება.

გამოსასყიდის პროგრამულმა თავდასხმამ დააბრკოლა მრავალი კომპანია და ორგანიზაცია მთელს მსოფლიოში, მათ შორის ესპანური ტელეკომუნიკაციების კომპანია Telefonica, საავადმყოფოები დიდ ბრიტანეთში და აშშ-ს მიწოდების კომპანია FedEx. მთავარი დარტყმა რუს მომხმარებლებს და კომპანიებს დაეცა. ამ დროისთვის WannaCry-მ მოახერხა დაახლოებით 57000 კომპიუტერის დაინფიცირება, მათ შორის შინაგან საქმეთა სამინისტროს, რუსეთის რკინიგზის და მეგაფონის კორპორატიული ქსელები. Sberbank-მა და ჯანდაცვის სამინისტრომ ასევე განაცხადეს თავდასხმების შესახებ მათ სისტემებზე.

Wanna Cry ვირუსის გავრცელება

იმისთვის, რომ არ შეუერთდეს მათ რიგებს, ვისი კომპიუტერიც არის ინფიცირებული, აუცილებელია იმის გაგება, თუ როგორ აღწევს მავნე პროგრამა სისტემაში. კომპიუტერი ინფიცირებულია SMB პროტოკოლში არსებული დაუცველობის გამოყენებით, რაც პროგრამის კოდის დისტანციურად შესრულების საშუალებას იძლევა. ის ეფუძნება EternalBlue ექსპლოიტს, რომელიც შეიქმნა აშშ-ს ეროვნული უსაფრთხოების სააგენტოს (NSA) კედლებში და საჯაროდ ხელმისაწვდომი გახდა ჰაკერების მიერ.

საწყისი mssecsvc.exe ფაილი იწყებს სხვა ფაილს, სახელწოდებით tasksche.exe. გადართვის დომენი შემდეგ მოწმდება და იქმნება mssecsvc2.0 სერვისი. ეს სერვისი ახორციელებს mssecsvc.exe ფაილს სხვა შესვლის წერტილით, ვიდრე პირველად გაშვებისას. მეორე გაშვება იღებს ინფიცირებული აპარატის IP მისამართს და ცდილობს დაკავშირებას ქვექსელის თითოეული IP მისამართის TCP პორტთან 445. როდესაც მავნე პროგრამა წარმატებით უერთდება დისტანციურ მოწყობილობას, კავშირი დამყარებულია და მონაცემები გადადის. როგორც ჩანს, სადღაც ამ გადაცემის პროცესში გამოყენებულია ცნობილი დაუცველობა, რომელიც დაფიქსირდა MS 17-010 განახლებით. ამ დროისთვის, არ არსებობს სრული გაგება SMB ტრაფიკის შესახებ და რა პირობებში შეიძლება გავრცელდეს მავნე პროგრამა უსაფრთხოების ხვრელის გამოყენებით.

tasksche.exe ფაილი ამოწმებს ყველა დისკს, ისევე როგორც ქსელში გაზიარებულ საქაღალდეს და დაკავშირებულ მოწყობილობებს, რომლებიც ასოცირდება ასოებთან, როგორიცაა 'C:/', 'D:/' და ა.შ. შემდეგ მავნე პროგრამა ეძებს ფაილებს გაფართოებებით, რომლებიც ჩამოთვლილია პროგრამაში (და მოცემულია ქვემოთ) და შიფრავს მათ 2048-ბიტიანი RSA დაშიფვრის გამოყენებით. სანამ ფაილები დაშიფრულია, იქმნება საქაღალდე "Tor/", სადაც განთავსებულია ფაილი tor.exe და 9 dll ფაილი, რომელსაც ის იყენებს. გარდა ამისა, იქმნება taskdl.exe და taskse.exe. პირველი წაშლის დროებით ფაილებს და მეორე გადის @ [ელფოსტა დაცულია], რომელიც უჩვენებს მომხმარებელს ფანჯარას, რომელიც სთხოვს გადაიხადოს. ფაილი @ [ელფოსტა დაცულია]პასუხისმგებელია მხოლოდ შეტყობინების ჩვენებაზე. ფაილის დაშიფვრა ხდება ფონზე tasksche.exe-ის გამოყენებით.

tor.exe ფაილი გაშვებულია @-ის გამოყენებით [ელფოსტა დაცულია]. ეს ახალი პროცესი იწყებს Tor კვანძებთან დაკავშირებას. ამ გზით, WannaCry ინარჩუნებს ანონიმურობას მთელი თავისი ტრაფიკის გაგზავნით Tor ქსელის საშუალებით.

როგორც ტიპიურია გამოსასყიდისთვის, პროგრამა ასევე შლის დაზარალებულის კომპიუტერზე არსებულ ნებისმიერ ჩრდილოვან ასლს, რათა აღდგენა კიდევ უფრო გართულდეს. ეს კეთდება WMIC.exe, vssadmin.exe და cmd.exe გამოყენებით

WannaCry იყენებს სხვადასხვა მეთოდებს მისი შესრულების დასახმარებლად. ასე გამოიყენება attrib.exe +h დროშის შესაცვლელად (დამალვა), ისევე როგორც icacls.exe ყველა მომხმარებლისთვის სრული უფლებების მისაცემად: „icacls. / გრანტი ყველას:F /T /C /Q."

აღსანიშნავია, რომ პროგრამას აქვს მოდულარული არქიტექტურა. სავარაუდოა, რომ მასში არსებული ყველა შესრულებადი ფაილი დაიწერა სხვადასხვა ადამიანის მიერ. ეს შეიძლება ნიშნავდეს, რომ პროგრამის სტრუქტურამ შეიძლება დაუშვას სხვადასხვა მავნე სკრიპტების გაშვება.

დაშიფვრის დასრულების შემდეგ, მავნე პროგრამა აჩვენებს ფანჯარას, რომელიც ითხოვს გამოსასყიდს ფაილებისთვის. საინტერესო ის არის, რომ ფანჯარა არის შესრულებადი ფაილი და არა გამოსახულება, HTA ფაილი ან ტექსტური ფაილი.

მსხვერპლს უნდა ესმოდეს, რომ არავინ იძლევა გარანტიას, რომ გამოსასყიდის გადახდის შემდეგ მოწყობილობა აღარ იქნება პარალიზებული.

რა უნდა გააკეთოთ ახლავე ინფექციის თავიდან ასაცილებლად.

1. Microsoft-მა გამოასწორა EternalBlue-ის პრობლემა ბიულეტენში MS17-010, დათარიღებული 2017 წლის 14 მარტს.

ამიტომ, WannaCry-ისგან დაცვის პირველი და მთავარი ღონისძიება უნდა იყოს Windows-ისთვის უსაფრთხოების ამ განახლების დაყენება.

ეს არის ის ფაქტი, რომ ბევრ მომხმარებელს და სისტემის ადმინისტრატორს ჯერ არ გაუკეთებია ეს, რაც გახდა ასეთი მასშტაბური შეტევის მიზეზი, რომლის ზარალი ჯერ კიდევ არ არის შეფასებული. მართალია, განახლება განკუთვნილია Windows-ის იმ ვერსიებისთვის, რომლებისთვისაც მხარდაჭერა ჯერ არ შეწყვეტილა. საფრთხის მაღალი დონის გამო, Microsoft-მა ასევე გამოუშვა განახლებები ძველი ოპერაციული სისტემებისთვის, როგორიცაა Windows XP, Windows 8 და Windows Server 2003. ჩამოტვირთეთ ისინი.

2. საფრთხის შესამცირებლად, სასწრაფოდ უნდა დააინსტალიროთ Windows OS-ის ყველა უახლესი განახლება: დაწყება - ყველა პროგრამა - Windows Update - განახლებების ძიება - ჩამოტვირთეთ და დააინსტალირეთ.

3. ნებისმიერ ორგანიზაციას, რომელსაც აქვს SMB საჯაროდ ხელმისაწვდომი (პორტები 139, 445), დაუყოვნებლივ უნდა დაბლოკოს შემომავალი ტრაფიკი.

4. არ უნდა დავივიწყოთ მნიშვნელოვანი მონაცემების რეგულარული სარეზერვო ასლები. გთხოვთ გაითვალისწინოთ, რომ WannaCry მიზნად ისახავს ფაილების შემდეგ კატეგორიებს:

  • ყველაზე გავრცელებული საოფისე დოკუმენტები (.ppt, .doc, .docx, .xlsx, .sxi).
  • ზოგიერთი ნაკლებად პოპულარული დოკუმენტის ტიპი (.sxw, .odt, .hwp).
  • არქივები და მედია ფაილები (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • ელფოსტის ფაილები (.eml, .msg, .ost, .pst, .edb).
  • მონაცემთა ბაზები (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • პროექტის ფაილები და წყაროს კოდები (.php, .java, .cpp, .pas, .asm).
  • დაშიფვრის გასაღებები და სერთიფიკატები (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • გრაფიკული ფორმატები (.vsd, .odg, .raw, .nef, .svg, .psd).
  • ვირტუალური მანქანის ფაილები (.vmx, .vmdk, .vdi).

5. მავნე პროგრამული უზრუნველყოფა შეიძლება მივიდეს ელექტრონული ფოსტით. მსხვერპლი იღებს ინფექციას მავნე დანართზე დაწკაპუნებით. ყველაზე ხშირად ჩვენ ვსაუბრობთ ფაილებზე js და exe გაფართოებით, ასევე დოკუმენტებზე მავნე მაკროებით (მაგალითად, Microsoft Word ფაილები). ამიტომ, ჩვენ გირჩევთ, იყოთ ფხიზლად იმ წერილების მიმართ, რომლებიც მოდის ელექტრონული ფოსტით და სხვა არხებით.

6. დარწმუნდით, რომ გამოიყენეთ განახლებული ანტივირუსი მონიტორინგის რეჟიმში და, თუ ეს შესაძლებელია, შეამოწმეთ სისტემა საფრთხეებისთვის. ერთადერთი ანტივირუსი, რომელიც პოულობს ვირუსს: ESET NOD32. თუ MEM:Trojan.Win64.EquationDrug.gen აქტივობა გამოვლინდა და აღმოიფხვრა, გადატვირთეთ სისტემა და შემდეგ დარწმუნდით, რომ MS17-010 დაინსტალირებულია. ამჟამად ცნობილია ვირუსის რვა სახელი:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

მაშინაც კი, თუ სისტემა არ იყო განახლებული და WannaCry მოხვდა კომპიუტერში, როგორც კორპორატიული, ასევე სახლის გადაწყვეტილებები ESET NOD32 წარმატებით აღმოაჩენს და ბლოკავს მის ყველა მოდიფიკაციას.

PS:თუ ინფექციის თავიდან აცილება ვერ მოხერხდა, თავდამსხმელებს მაინც ვერ გადაიხდით. ჯერ ერთი, იმ შემთხვევაშიც კი, თუ თანხა გადაირიცხება მითითებულ ბიტკოინის საფულეში, არავინ იძლევა გარანტიას ფაილების გაშიფვრის შესახებ. მეორეც, ვერ იქნებით დარწმუნებული, რომ თავდასხმა იმავე კომპიუტერზე არ განმეორდება და კიბერკრიმინალები არ მოითხოვენ გამოსასყიდის დიდ თანხას. და ბოლოს, მესამე, განბლოკვის „მომსახურების“ გადახდა დააჯილდოებს მათ, ვინც ახორციელებს კრიმინალურ საქმიანობას ინტერნეტში და სტიმული იქნება მათთვის ახალი თავდასხმების განსახორციელებლად.

2017 წლის მაისი ისტორიის ანალებში შევა, როგორც ბნელი დღე ინფორმაციული უსაფრთხოების სამსახურისთვის. ამ დღეს მსოფლიომ შეიტყო, რომ უსაფრთხო ვირტუალური სამყარო შეიძლება იყოს მყიფე და დაუცველი. გამოსასყიდის ვირუსმა სახელად Wanna decryptor ან wannacry დაიპყრო 150 ათასზე მეტი კომპიუტერი მთელს მსოფლიოში. ინფიცირების შემთხვევები ასზე მეტ ქვეყანაშია დაფიქსირებული. რა თქმა უნდა, გლობალური ინფექცია შეჩერებულია, მაგრამ ზარალი მილიონობით არის. გამოსასყიდი პროგრამების ტალღები კვლავ მოქმედებს ზოგიერთ ცალკეულ მანქანებზე, მაგრამ ჭირი ჯერჯერობით შეკავებული და შეჩერებულია.

WannaCry - რა არის ეს და როგორ დავიცვათ თავი მისგან

Wanna decryptor ეკუთვნის ვირუსების ჯგუფს, რომლებიც შიფრავს კომპიუტერზე არსებულ მონაცემებს და სძალავს ფულს მფლობელს. როგორც წესი, თქვენი მონაცემების გამოსყიდვის ოდენობა მერყეობს $300-დან $600-მდე. ერთ დღეში ვირუსმა მოახერხა დიდი ბრიტანეთის საავადმყოფოების მუნიციპალური ქსელის, ევროპის დიდი სატელევიზიო ქსელის და რუსეთის შინაგან საქმეთა სამინისტროს კომპიუტერების ნაწილის დაინფიცირება. მათ ეს შეაჩერეს გარემოებების ბედნიერი დამთხვევის წყალობით, დაარეგისტრირეს დამადასტურებელი დომენი, რომელიც ჩაშენებული იყო ვირუსის კოდში მისი შემქმნელების მიერ გავრცელების ხელით შესაჩერებლად.

ვირუსი აინფიცირებს კომპიუტერს ისევე, როგორც უმეტეს შემთხვევაში. წერილების გაგზავნა, სოციალური პროფილები და არსებითად უბრალოდ სერფინგი - ეს მეთოდები აძლევს ვირუსს შესაძლებლობას შეაღწიოს თქვენს სისტემაში და დაშიფროს თქვენი ყველა მონაცემი, მაგრამ მას შეუძლია შეაღწიოს თქვენი აშკარა მოქმედებების გარეშე სისტემის დაუცველობისა და ღია პორტის მეშვეობით.

WannaCry აღწევს 445 პორტში, Windows ოპერაციული სისტემის დაუცველობის გამოყენებით, რომელიც ახლახან დაიხურა გამოქვეყნებული განახლებებით. ასე რომ, თუ ეს პორტი დახურულია თქვენთვის ან ახლახან განაახლეთ Windows ოფისიდან. საიტზე, მაშინ არ უნდა ინერვიულოთ ინფექციაზე.

ვირუსი მუშაობს შემდეგი სქემით: თქვენს ფაილებში არსებული მონაცემების ნაცვლად, მარსიანულ ენაზე ღებულობთ გაუგებარ ხრიკებს, მაგრამ ისევ ნორმალური კომპიუტერის მისაღებად, მოგიწევთ თავდამსხმელების გადახდა. ისინი, ვინც ეს ჭირი გაავრცელეს ჩვეულებრივი ადამიანების კომპიუტერებზე, იყენებენ ბიტკოინებს გადასახდელად, ამიტომ შეუძლებელი იქნება ბოროტი ტროას მფლობელების იდენტიფიცირება. თუ არ გადაიხდით 24 საათის განმავლობაში, გამოსასყიდის თანხა იზრდება.

ტროას ახალი ვერსია ითარგმნება როგორც "მინდა ვიტირო" და მონაცემების დაკარგვამ შესაძლოა ზოგიერთ მომხმარებელს ცრემლი მოჰყვეს. ამიტომ უმჯობესია პრევენციული ზომების მიღება და ინფექციის თავიდან აცილება.

გამოსასყიდი პროგრამა იყენებს Windows-ის დაუცველობას, რომელიც Microsot-მა უკვე გაასწორა. თქვენ უბრალოდ უნდა განაახლოთ თქვენი ოპერაციული სისტემა უსაფრთხოების პროტოკოლით MS17-010, დათარიღებული 2017 წლის 14 მარტს.

სხვათა შორის, განახლება შეუძლიათ მხოლოდ იმ მომხმარებლებს, რომლებსაც აქვთ ლიცენზირებული ოპერაციული სისტემა. თუ თქვენ არ ხართ ერთ-ერთი ამ ადამიანთაგანი, უბრალოდ ჩამოტვირთეთ განახლების პაკეტი და დააინსტალირეთ ხელით. თქვენ უბრალოდ უნდა ჩამოტვირთოთ სანდო რესურსებიდან, რათა არ დაიჭიროთ ინფექცია პრევენციის ნაცვლად.

რა თქმა უნდა, დაცვა შეიძლება იყოს უმაღლესი დონის, მაგრამ ბევრი რამ დამოკიდებულია თავად მომხმარებელზე. გახსოვდეთ, რომ არ გახსნათ საეჭვო ბმულები, რომლებიც მოგაქვთ ელექტრონული ფოსტით ან თქვენს სოციალურ პროფილზე.

როგორ განვკურნო Wanna decryptor ვირუსი

ისინი, ვისი კომპიუტერებიც უკვე დაინფიცირებულია, უნდა მოემზადონ ხანგრძლივი მკურნალობისთვის.

ვირუსი მუშაობს მომხმარებლის კომპიუტერზე და ქმნის რამდენიმე პროგრამას. ერთი მათგანი იწყებს მონაცემების დაშიფვრას, მეორე უზრუნველყოფს კომუნიკაციას გამოსასყიდ პროგრამებთან. თქვენს სამუშაო მონიტორზე ჩნდება წარწერა, რომელიც აგიხსნით, რომ ვირუსის მსხვერპლი გახდით და გთავაზობთ ფულის სწრაფად გადარიცხვას. ამავდროულად, თქვენ არ შეგიძლიათ გახსნათ ერთი ფაილი და გაფართოებები შედგება გაუგებარი ასოებისგან.

პირველი მოქმედება, რომელსაც მომხმარებელი ცდილობს, არის მონაცემთა აღდგენა Windows-ში ჩაშენებული სერვისების გამოყენებით. მაგრამ როდესაც თქვენ აწარმოებთ ბრძანებას, ან არაფერი მოხდება, ან თქვენი ძალისხმევა უშედეგო იქნება - Wanna Decryptor-ის მოშორება არც ისე ადვილია.

ვირუსის განკურნების ერთ-ერთი ყველაზე მარტივი გზა სისტემის უბრალოდ ხელახლა ინსტალაციაა. ამ შემთხვევაში, თქვენ დაკარგავთ არა მხოლოდ მონაცემებს, რომლებიც დისკზე იყო დაინსტალირებული სისტემით. ყოველივე ამის შემდეგ, სრული აღდგენისთვის, დაგჭირდებათ მთელი მყარი დისკის ფორმატირება. თუ არ ხართ მზად ასეთი მკვეთრი ნაბიჯების გადასადგმელად, მაშინ შეგიძლიათ სცადოთ სისტემის ხელით განკურნება:

  1. ჩამოტვირთეთ სტატიაში ზემოთ აღწერილი სისტემის განახლება.
  2. შემდეგი, გათიშეთ ინტერნეტი
  3. ჩვენ გავუშვით cmd ბრძანების ხაზი და ვბლოკავთ პორტს 445, რომლის მეშვეობითაც ვირუსი აღწევს კომპიუტერში. ეს კეთდება შემდეგი ბრძანებით:
    netsh advfirewall firewall-ის დამატების წესი dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
  4. შემდეგი, ჩვენ ვიწყებთ სისტემას უსაფრთხო რეჟიმში. ჩატვირთვისას დააჭირეთ F8, სისტემა თავად გკითხავთ, თუ როგორ უნდა ჩართოთ კომპიუტერი. თქვენ უნდა აირჩიოთ "უსაფრთხო რეჟიმი".
  5. ჩვენ ვპოულობთ და ვშლით საქაღალდეს ვირუსით, შეგიძლიათ იპოვოთ იგი ვირუსის მალსახმობის დაჭერით და "ფაილის ადგილმდებარეობა" დაწკაპუნებით.
  6. ჩვენ გადატვირთავთ კომპიუტერს ნორმალურ რეჟიმში და ვაინსტალირებთ ჩვენს მიერ გადმოწერილი სისტემის განახლებას, ჩართეთ ინტერნეტი და დააინსტალირეთ იგი.

გინდა ტირო – როგორ გავშიფრო ფაილები

თუ თქვენ მთლიანად მოიშორეთ ვირუსის ყველა გამოვლინება, მაშინ დროა დაიწყოთ მონაცემების გაშიფვრა. და თუ ფიქრობთ, რომ უმძიმესი ნაწილი დასრულდა, მაშინ ძალიან ცდებით. ისტორიაში არის შემთხვევაც კი, როდესაც გამოსასყიდის პროგრამის შემქმნელებმა თავად ვერ შეძლეს დაეხმარონ მომხმარებელს, რომელმაც გადაიხადა ისინი და გაუგზავნა ანტივირუსის ტექნიკური მხარდაჭერის სერვისს.

საუკეთესო ვარიანტია ყველა მონაცემის წაშლა და . მაგრამ თუ ასეთი ასლი არ არის, მაშინ მოგიწევთ ჭექა-ქუხილი. გაშიფვრის პროგრამები დაგეხმარებათ. მართალია, არცერთ პროგრამას არ შეუძლია ასი პროცენტიანი შედეგის გარანტია.

არსებობს რამდენიმე მარტივი პროგრამა, რომელსაც შეუძლია მონაცემთა გაშიფვრა - მაგალითად, Shadow Explorer ან Windows მონაცემთა აღდგენა. ასევე ღირს კასპერსკის ლაბორატორიის გადახედვა, რომელიც პერიოდულად ავრცელებს დეშიფრატორებს - http://support.kaspersky.ru/viruses/utility

Ძალიან მნიშვნელოვანი! გაუშვით გაშიფვრის პროგრამები მხოლოდ მას შემდეგ, რაც ამოიღებთ ვირუსის ყველა გამოვლინებას, წინააღმდეგ შემთხვევაში თქვენ რისკავთ სისტემის დაზიანებას ან მონაცემების ხელახლა დაკარგვას.

Wanna decryptor-მა აჩვენა, თუ რამდენად მყიფე შეიძლება იყოს ნებისმიერი დიდი საწარმოს ან თუნდაც სამთავრობო უწყების უსაფრთხოების სისტემა. ასე რომ, მაისი მრავალი ქვეყნისთვის საორიენტაციო გახდა. სხვათა შორის, რუსეთის შინაგან საქმეთა სამინისტროში დაზარალდნენ მხოლოდ ის მანქანები, რომლებიც იყენებდნენ Windows-ს, მაგრამ ის კომპიუტერები, რომლებზეც დაინსტალირებული იყო რუსეთის მიერ შემუშავებული Elbrus ოპერაციული სისტემა, არ დაზარალდა.

რა მკურნალობის მეთოდებში დაგეხმარათ Wanna decryptor? დაწერეთ კომენტარი ამ სტატიაზე და გაუზიარეთ სხვებს.

გამოიწერეთ ახალი სტატიები, რათა არ გამოტოვოთ!



გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა