«Лаборатория Касперского» о шифровальщике “WannaCry”

Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название “WannaCry”, с которыми 12 мая столкнулись компании по всему миру

Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название “WannaCry”, с которыми 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010 . Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данный вредоносное ПО, которые использовались в этой атаке, следующими вердиктами:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)

За расшифровку данных злоумышленники требуют заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin. На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России.

В случае если Ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети Интернет или полученные в электронных письмах средства расшифровки. Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а утилиты, загруженные вами, могут нанести еще больший вред как вашему компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.

Если вы обнаружили, что ваш компьютер подвергся заражению, следует выключить его и обратиться в отдел информационной безопасности для получения последующих инструкций.

• Установить официальный патч от Microsoft , который закрывает используемую в атаке уязвимость (в частности уже доступны обновления для версий Windows XP и Windows 2003);
• Убедиться, что включены защитные решения на всех узлах сети;
• Если используется защитное решение «Лаборатории Касперского», убедиться, что его версия включает в себя компонент «Мониторинг Системы» и он включен;
• Запустить задачу сканирования критических областей в защитном решении «Лаборатории Касперского», чтобы обнаружить возможное заражение как можно раньше (в противном случае детектирование произойдет автоматически в течение 24 часов);
• После детектирования Trojan.Win64.EquationDrug.gen, произвести перезагрузку системы;
• В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

Более подробную информацию об атаках “WannaCry” можно найти в отчете «Лаборатории Касперского»

На чтение 9 мин. Просмотров 106 Опубликовано 31.05.2017

Всем привет! Совсем недавно, интернет взволновало событие, от которого пострадали компьютеры многих компаний и частных пользователей. Всему виной появившийся вирус Wanna Cry, который за короткое время молниеносно проник и заразил огромное количество компьютеров в разных странах мира. На данный момент распространение вируса снизилось, но не остановилось полностью. Из-за этого, пользователи периодически попадаются в его ловушку и не знают, что делать, так как не все антивирусные программы способны его обезвредить. По предварительным данным, атаке подверглись более 200 тысяч компьютеров по всему миру. Вирус Wanna Cry по праву можно считать самой серьезной угрозой текущего года, и возможно ваш компьютер будет следующим на его пути. Поэтому, давайте подробно рассмотрим, как данный вредоносный код распространяется и каким образом можно с ним бороться.

Что за злодей вирус Wanna Cry?

«Вона край», так еще называют Российские пользователи данный вирус, относится к виду вредоносного ПО, которое поселяется на компьютере как троян и начинает вымогать деньги у пользователя ПК. Принцип его работы такой: на рабочем столе компьютера появляется баннер, который блокирует всю работу пользователя и предлагает ему отправить платное СМС сообщение, чтобы убрать блокировку. Если пользователь откажется платить деньги, информация на компьютере будет зашифрована без возможности восстановления. Как правило, если не предпринять никаких действий, можно попрощаться со всей информацией, хранящейся на жестком диске.

По сути, вирус Wanna Cry можно отнести к группе вирусов, блокеров-вымогателей, которые периодически треплют нервы многим юзерам.

Как работает новый вредитель?

Попадая на компьютер, вона край быстро шифрует информацию, находящуюся на жестком диске.

После этого, на рабочем столе появляется специальное сообщение, в котором пользователю предлагается заплатить 300 американских долларов, за то, чтобы программа расшифровала файлы. Если пользователь будет долго думать, и деньги не поступят на специальный электронный кошелек Bitcoin, то сумма выкупа удвоится и придется выложить уже 600 долларов, что на наши деньги около 34000 тысяч рублей, приличная сумма, неправда ли?

По прошествии семи дней, если пользователь не отправит вознаграждение для расшифровки файлов, эти файлы будут удалены вымогателем без возможности восстановления.

Вирус Wanna Cry умеет работать практически со всеми современными типами файлов. Вот малый список расширений, которые находятся в зоне риска: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Как видите, в этом небольшом списке, есть все популярные файлы, которые способен зашифровать вирус.

Кто же создатель вируса Wanna Cry?

По информации агентства национальной безопасности Соединенных Штатов Америки ранее был обнаружен программный код под названием «Eternal Blue», правда информация о данном коде была скрыта, для использования в личных интересах. Уже в апреле текущего года, сообщество хакеров обнародовало информацию о данном эксплойте.

Скорее всего, создатель вона край использовал данный код для написания очень эффективного вируса. На данный момент, еще не установлено, кто является главным автором вымогателя.

Как распространяется и попадает на компьютер вирус Wanna Cry?

Если вы еще не попались в ловушку вируса Wanna Cry, то будьте внимательны. Распространяется он, чаще всего, посредством электронных писем с вложениями.

Представим такую ситуацию! Вам приходит электронное сообщение, возможно, даже от известного вам пользователя, которое содержит аудиозапись, видео клип либо фото, открыв письмо пользователь с радостью кликает по вложению, не замечая тот факт, что файл имеет расширение exe. То есть по сути, юзер сам запускает установку программы, в следствии чего происходит инфицирование файлов компьютера и при помощи вредоносного кода происходит загрузка вируса, который шифрует данные.

Обратите внимание! Заразить компьютер блокером «вона край» вы можете и при скачивании файлов с торрент-трекеров или же получив личное сообщение в социальных сетях или мессенджерах.

Как обезопасить компьютер от вируса Wanna Cry?

Наверное, в вашей голове возник резонный вопрос: «Как защититься от вируса Wanna Cry?»

Здесь я вам могу предложить несколько основных способов:

• Так как разработчики Майкрософт всерьез взволновались от действий вируса, то незамедлительно выпустили обновление для всех версий операционной системы Windows. Поэтому, чтобы обезопасить свой ПК от данного вредителя, необходимо в срочном порядке скачать и установить заплатку системы безопасности;
• Внимательно следите за тем, какие письма вам приходят на email. Если вам пришло письмо с вложением, даже от знакомого вам адресата, то обратите внимание на расширение файла. Ни при каких обстоятельствах, не открывайте скаченные файлы с расширением вида: .exe; .vbs; .scr . Так же расширение может быть замаскировано и иметь такой вид: avi.exe; doc.scr ;
• Чтобы не попасться в лапы вируса, в настройках операционной системы включите показ расширений файлов. Это позволит вам видеть, какой тип файлов вы пытаетесь запустить. Так же будет хорошо видно, тип замаскированных файлов;
• Установка, даже самого л скорее всего не спасет ситуацию, так как вирус использует уязвимости операционной системы для доступа к файлам. Поэтому, первым делом, установите все обновления для Windows, а уже после ставьте ;
• Если есть возможность, перенесите все важные данные на внешний жесткий диск. Это обезопасит вас от потери информации;
• Если фортуна повернулась к вам пятой точкой, и вы попали под действие вируса Wanna Cry, то для того, чтобы от него избавиться переустановите операционную систему;
• Держите вирусные базы ваших установленных антивирусов в актуальном состоянии;
• Рекомендую скачать и установить бесплатную утилиту Kaspersky Anti-Ransom ware. Данная утилита позволяет в режиме реального времени, защитить компьютер от различных блокеров-вымогателей.

Патч Windows от Wanna Cry, чтобы компьютер не болел.

Если на ваш компьютер установлена операционная система:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Установите данный патч, скачать вы его можете по ссылке на официальном сайте Майкрософт.

Для всех остальных версий операционной системы Windows, достаточно будет установить все доступные обновления. Как раз с этими обновлениями вы закроете дыры в системе безопасности Windows.

Удаляем вирус Wanna Cry.

Для того, чтобы удалить вымогатель «вона край», попробуйте воспользоваться одной из самых лучших утилит удаления вредоносных программ.

Обратите внимание! После работы антивирусной программы, зашифрованные файлы не будут дешифрованы. И скорее всего вам придется их удалить.

Есть ли возможность самостоятельно расшифровать файлы после Wanna Cry.

Как правило, блокеры-вымогатели, к которым относится наш «вона край» шифруют файлы с применением ключей 128 и 256 бит. При этом, ключ для каждого компьютера уникален и не повторяется нигде. Поэтому, если попытаться расшифровать такие данные в домашних условиях, то вам понадобится не одна сотня лет.

На данный момент, в природе не существует ни одного дешифратора Wanna Cry. Следовательно, ни один пользователь не сможет расшифровать файлы после работы вируса. Поэтому, если вы еще не стали его жертвой, рекомендую позаботиться о безопасности своего компьютера, если же вам не повезло, то есть несколько вариантов решения проблемы:

• Заплатить выкуп. Здесь вы отдаете деньги на свой страх и риск. Так как вам никто не гарантирует, что после того как вы отправите деньги, программа сможет обратно расшифровать все файлы;
• Если вирус не обошел стороной ваш компьютер, то можно просто отключить жесткий диск и положить его на дальнюю полку до лучших времен, когда появится дешифратор. На данный момент, его не существует, но вероятнее всего, он появится в скором будущем. Хочу вам сказать по секрету, что дешифраторы разрабатывает Лаборатория Касперского и выкладывает на сайт No Ramsom;
• Для пользователей лицензионного антивируса Касперского, существует возможность подать заявку на расшифровку файлов, которые зашифровал вирус Wanna Cry;
• Если на жестком диске ПК нет ничего важного, то смело его форматируйте и устанавливайте чистую операционную систему;

Вирус Wanna Cry в России.

Представляю график, на котором отлично видно, что самое большое количество компьютеров попало под действие вируса на территории Российской Федерации.

Вероятнее всего, это произошло от того, что российские пользователи не особо любят покупать лицензионное ПО и чаще всего используют пиратские копии операционной системы Windows. Из-за этого, система не обновляется, и остается очень уязвимой для вирусов.

Не обошел стороной такие компьютеры и вирус Wanna Cry. Рекомендую устанавливать лицензионную версию операционной системы, а также не выключать автоматическое обновление.

Кстати, не только компьютеры частных пользователей пострадали от блокера «вона край», но и государственные организации такие как: МВД, МЧС, Центробанк, а также крупные частные компании такие как: оператор сотовой связи «Мегафон», «Сбербанк России» и «РЖД».

Как я уже говорил выше, от проникновения вируса, можно было уберечься. Так еще в марте текущего года, компания Майкрософт выпустила обновления системы безопасности Windows. Правда не все пользователи его установили, из-за чего и попали в ловушку.

Если вы используете старую версию операционной системы, то непременно скачайте и установите патч, о котором я вам писал в пункте выше.

Подведем итоги.

В сегодняшней статье мы с вами поговорили о новом вирусе Wanna Cry. Я постарался максимально подробно рассказать, что из себя представляет данный вредитель и как можно от него уберечься. Так же теперь вы знаете где можно скачать патч, который закроет дыры в системе безопасности Windows.

С помощью пары не самых сложных действий вы можете попробовать удалить вирус WannaCry, чтобы восстановить нормальный доступ к своему компьютеру.

1. Скачайте программу Rkill и запустите её.
2. Программа завершит все активные вредоносные процессы.
3. ВАЖНО: начиная с этого момента и до конца действий, приведенных в данной инструкции, не перезапускайте компьютер. В противном случае процессы вредоносных программ тоже перезапустятся.
4. Загрузите антивирус Avira и установите его на своем компьютере. Когда после инсталляции программа предложит перезагрузить операционную систему, вежливо откажитесь.
5. Запустите полную проверку компьютера на наличие вирусов и подождите, пока Avira сделает свое дело. Это может занять некоторое количество времени.
6. Переместите, если потребуется, все обнаруженные вирусы в карантин.
7. Загрузите программу Malwarebytes Anti-Malware и установите её. Ей тоже запретите перезагружать компьютер после завершения процесса инсталляции.
8. Активируйте в настройках во вкладке «Обнаружение и защита» пункт «Проверки руткитов».
9. Затем запустите полную проверку вашей системы и подождите, пока Malwarebytes не сообщит о завершении процесса.
10. Поместите все «находки» в карантин.
11. Теперь перезагрузите компьютер и снова запустите Malwarebytes. После этого ваш ПК должен стать свободным от вируса.

Удаляем вирус WannaCry и расшифровываем данные - получится ли?

В настоящее время расшифровать зашифрованные вирусом данные не представляется возможным. Тем не менее, если вы наберетесь терпения, есть хорошие шансы на то, чтобы вернуть доступ к данным.

В прошлом для большинства программ-вымогателей были разработаны так называемые дешифровщики файлов (они же дешифраторы, декрипторы).

Как и следует из названия, они предназначены для того, чтобы дешифровывать файлы и восстанавливать находящиеся в них данные.

Тем не менее, пока что-то подобное будет разработано для WannaCry, может пройти некоторое время. Поэтому наберитесь терпения и некоторое время подождите с форматированием жесткого диска.

В мы расскажем вам о том, как можно защитить себя от программ-вымогателей и какие антивирусные программы являются самыми лучшими.

Фото: компании-производители, Pixabay

Wanna Cry прозвали вирусом-вымогателем, потому что он самовольно захватывает ваш компьютер, шифруя все данные на жёстком диске без вашего ведома. А за право получить доступ к вашей собственной информации требует выкуп в виде биткоинов. От этого виртуального террориста пострадали жители 74 стран. сайт выяснил, почему этот вирус так опасен и можно ли его победить.

Зашифруйте меня полностью

Wanna Cry имеет весьма нетипичную для вредоносных программ природу. Как рассказал сайт специалист по сетевой безопасности Илья Филимонов, это по сути никакой не вирус. Поэтому обычные способы защиты компьютеров вам тут не помогут.

"Это просто программа, которая шифрует данные, - объясняет Илья Филимонов. - Она запускается без ведома пользователя. В неё встроен алгоритм шифрования, который работает по 1024-битному ключу. Это последовательность знаков в ряд. Подобрать его нельзя, не зная ключа. Так что Wanna Cry - это не совсем вирус, а скорее, программа. И люди, которые её запустили, - это не хакеры. Это просто злоумышленники. Чтобы расшифровать ваши данные, вам нужно ввести первичный ключ. Этот ключ они и продают по сути".

Wanna Cry - довольно незамысловатое изобретение - чтобы его создать, не надо быть гением. А распознать эту программу практически невозможно.

"Люди, которые создали Wanna Cry, просто взяли коды в открытом доступе и просто скриптом, используя уязвимость системы Windows, запустили принудительное исполнение своей программы. Эта программа очень мало места занимает, её можно поместить в простой doc или pdf-файл. Например, вам придёт договор какой-нибудь с адреса, который вы знаете. И всё", - говорит Илья Филимонов.

Никаким антивирусом это не лечится

Если вы всё-таки поймали Wanna Cry, открыв самое обычное на вид письмо или зайдя на какой-либо сайт, то антивирусы вам, как говорят программисты, особо не помогут.

"Его невозможно отследить антивирусом, потому что внутри программы нет вирусного кода. Такой алгоритм используется спецслужбами. Даже эвристический анализатор в антивирусе его не распознает, потому что это класс программ, который, наоборот, защищает пользовательские данные. В крупных компаниях такие программы используют, чтобы защитить данные сотрудников. Никаким антивирусом это не лечится", - подытожил Илья Филимонов.

Как не заразиться

Единственное, что можно сделать, чтобы застраховать себя от Wanna Cry, - установить последнее обновление Microsoft MS17-010. Это патч, специально разработанный для таких случаев. Но это работает только если ваш Windows не пиратский.

"А если пиратский, то можно установить Acronis TrueImage, с ним в подарок идёт терабайт облачного хранения. Сделайте полный бэкап всех своих документов. Или просто запускаете TrueImage и через 15-20 минут ваш компьютер будет снова в первозданном виде", - советует Илья Филимонов.

Фото с сайта mozgokratia.ru

Касперский всё же может помочь

Специалисты "Лаборатории Касперского" в ответ на заявления о бесполезности антивирусных программ в борьбе с Wanna Cry, говорят, что это не совсем верно. Новые версии антивирусных программ уже умеют блокировать программы-шифровальщики.

"Все решения "Лаборатории Касперского" блокируют работу и данного руткита, и программ-шифровальщиков со следующими вердиктами: Trojan.Win64.EquationDrug.ge; Tr,ojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic, - объясняет руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников. - Но для детектирования данного зловредного компонента "Мониторинг системы" должен быть включён".

Однако Илья Филимонов скептически относится к словам представителей "Лаборатории Касперского", говоря, что обновление антивирусной программы появилось постфактум, когда мир уже был заражён Wanna Cry.

"Ранее их программа не блокировала шифровальщик, - говорит Илья Филимонов. - А теперь она блокирует его запуск на шифрование, но не удаляет и не лечит. Потому что лечить нечего".

Атака остановлена временно

Если же вирус уже в вашем компьютере и появилось зловещее сообщение с требованием выкупа, то вы мало что можете с этим поделать. Однако сразу паниковать не стоит. Специалисты говорят, что часть данных вы можете спасти, так как Wanna Сry шифрует их не одномоментно, а постепенно. Так что вы успеете срочно эвакуировать важную для вас информацию.

Как говорит программист Юрий Ямпольский, платить запрашиваемые биткоины не следует ни при каких условиях. Потому что ключа к зашифрованным данным вы всё равно не получите. Во всяком случае таких прецедентов еще не было.

"Главное - никому ничего не платить, - уточнил Юрий Ямпольский. - Потому что вы заплатите, но расшифровать вам всё равно ничего не дадут. Сейчас атака остановилась. Британский программист, как известно, случайно его остановил. Он проследил, по какому адресу обращается вирус, и зарегистрировал по нему домен. Так его отследили. Но, скорее всего, атака скоро опять начнётся. Сейчас хакеров остановили, зафиксировав их домен. Но как только хакеры изменят код вируса, они могут снова начать атаку".

Чтобы снова получить доступ к своим данным, вам придётся дождаться, когда антивирусные компании обнаружат алгоритм, по которому формируется ключ к зашифрованным данным, и опубликуют его. Но это тоже не гарантирует помощь - ключ может меняться по истечении времени.

Получается, что Wanna Cry - фактически непобедим. И лучший способ сохранить свои данные - не подхватывать его.