Cronica evenimentelor
WannaCrypt a început răspândirea acesteia în Spania și Regatul Unit (pe diferite informații) pe data de 12 și rapid vândute pe computerele din întreaga lume. S-au atacat doar sistemele care rulează Windows, în special versiunile mai vechi: Windows XP - 8. Organizațiile Victimele au devenit infectate, inclusiv agențiile guvernamentale la diferite niveluri, și utilizatorii finali. În prima zi a suferit aproximativ 45 de mii de mașini în 74 de țări ale continentului, pentru următoarele câteva zile un număr de țări, Koi a confirmat atacurile WannaCrypt a crescut la 150, în timp ce numărul de PC-ul atacat a depășit 200 de mii.
instituțiile medicale au suferit în Marea Britanie, a dispărut rezultatele din ultimele câteva zile în Germania - un server de mare w / operatorului d, mai multe branduri de automobile a suspendat funcționarea instalației pentru a testa computere. În Statele Unite au început întreruperi în furnizarea de servicii în Spania a fost cauzat deteriorarea, comunicații, companii și bănci de consultanță de energie, în timp ce România a spus infectarea calculatoarelor megafon, unele neregularități în w / d de transport și de trafic. Chiar și reprezentanți ai Comitetului de Investigații și Ministerul de Interne a spus că pericolul este localizat. Scala este într-adevăr destul de mare. Ucraina eveniment, ceea ce este ciudat, de fapt cruțat, în ciuda sărbătorilor de sfârșit și abundența de software fără licență pe utilizatori calculatoare, întreprinderi, chiar și agențiile guvernamentale.
Răspândirea programelor rău intenționate, în linii mari, prin e-mail, ca o aplicație executabil, un script - un mic program cu codurile .js de extensie sau vbs, sau trimitere la o resursă externă. Ceea ce este interesant, modulul este conceput ca un vierme capabil sa infecteze alte computere din rețea în care mașina a suferit de activitățile sale.
Componenta tehnică
În Windows pentru partajarea de fișiere în rețea utilizând protocolul SMB, creat de IBM în 1983 și a fost mult timp de actualitate, deoarece este destinat pentru o gamă largă de sarcini. Chiar și după mai multe upgrade-uri, upgrade semnificativ de tehnologie, cineva a găsit o gaură în prima versiune a SMB, cu un port TCP deschis 445 și a folosit-o pentru a lansa WannaCrypt. Virus funcționează după cum urmează.
- Pătruns la PC, acesta lansează procesul de despachetare lor proprii de instalare.
- După instalarea virusului încarcă browser-ul anonim TOR în fundal.
- Prin intermediul browser-ul stabilește o conexiune cu serverul privat.
- Efectuează un script care oferă privilegii pentru a cripta fișiere de pe PC-ul infectat.
- Se completează procesele de sistem care nu afectează performanțele de operare și criptează toate bazele de date disponibile.
- Încasări pentru a codifica informații.
Fișierele criptate pot fi supuse la mai mult de 160 de formate populare, numărul de care nu include fișiere 1C.
Pentru a bloca un obiect se adaugă la wncry de expansiune, iar în fiecare afectat ele director textierul este copiat în decriptarea de instrucțiuni și interpret - @ WanaDecryptor @ .exe.
- WannaCrypt următoarea etapă de lucru este copii ale obiectelor blocate șterse definitiv (așa cum o face în cazul în care stocarea criptată de duplicate nu este suficient spațiu, nu au fost încă raportate), în scopul de a salva utilizatorului posibilitatea de a le recupera gratuit.
Acest lucru necesită privilegii sporite din partea sistemului de operare, în cazul în care serviciul UAC este activat. În caz de eșec în punerea în aplicare a acțiunii virusului copii rămân, făcând posibilă pentru a returna informațiile criptate gratuit.
- Apoi, va apărea o fereastră «WannaCrypt0r 2.0» cu notificare fișierele au fost supuse unui algoritm complex de criptare, și să lucreze în continuare în astfel de condiții este imposibilă.
Pentru a continua este necesar să se transfere suma de Bitcoin echivalentă cu $ 300 sau $ 600, într-un cont specificat. Dacă după trei zile cheia de decriptare nu a fost achiziționat, suma este dublat, iar o săptămână după infectare, informațiile vor fi eliminate definitiv. Mesajul este tradus în trei limbi de duzină, care sunt selectate în meniul drop-down. Inițial, mesajul apare pe limba dvs. implicit sistemul.
Oficial, virusul numit Răscumpărare: Win32.WannaCrypt, el este cunoscut utilizatorilor sub numele: WCry, WannaCrypt, mă plânge vreau. Acest coder virus, exploata - folosind bug-uri și vulnerabilități în aplicația software pentru a ataca și de a infecta calculatoarele și ransomware - software rău intenționat creat pentru a stoarce bani.
Faptul că utilizatorii afectați care nu beneficiază de un sistem automat de actualizare împotriva sfatul gigantului software-ului, împreună cu apariția de patch-uri, având cineva nu permite WannaCrypt act, 2 luni înainte de infectare în masă, duce la unele gânduri. Ei spun, „nu doresc să faceți upgrade în mod voluntar, vom forța să o facă în mod forțat.“ În favoarea încheierii este și eliminarea vulnerabilităților în Windows 10, cunoscut pentru acordul său de utilizator și restrângerea libertății acțiunilor utilizatorului.
EternalBlue exploit utilizat anterior de către ANS, care a fost confirmat de către reprezentanți ai grupului hacker instrumente de publicare Agenția Internațională pentru securitate națională al SUA, și de a face ea însăși suspectat de a efectua crima.
soluție temporară
Un specialist în domeniul de securitate cunoscut numai de el modul în care, a fost capabil să identifice faptul că virusul este adrese de non-existente și aparent lipsite de sens nume de domeniu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. După crearea sa, malware-ului sa oprit temporar care călătoresc în rețea, datorită tranziției de succes a URL-ului de mai sus-menționată. La scurt timp proces a început din nou, după modificare minoră a domeniului de program al corpului din cauza modificărilor care trimite cererea.
Pentru a evita contaminarea
Utilizatorii cu Windows 10, modificarea actuală a malware-ului nu este teribil. Acesta este închis este folosit pentru a rula script-urile de vulnerabilitate. Toți ceilalți se recomandă să urmeze recomandările de mai jos.
- Instalat pe calculator software-ul antivirus Avast și actualizați-l. Antivirus detectează și blochează toate versiunile WannaCrypt.
- Închide portul 445, în cazul în care acesta este deschis.
- Apel în Panoul de control „Programe și caracteristici“.
- Faceți clic pe link-ul „On. / Off. componente Windows. »
- Scoateți cecul, stând la punctul «SMB1.0 / CIFS ...».
- Facem click pe „OK“ și reporniți.
Du-te la resurse necunoscute numai cu încredere deplină în siguranță și fiabilitatea lor, să fie precauți atunci când descărcarea aplicațiilor.
- Executați snap „Servicii“.
- Hit Win + R.
- Efectuați «services.msc».
- Apelați „Properties“ de serviciu „server“ sau „server“.
- Dezactivați de pornire automată a acestuia și se va opri.
Nu se poate preveni pătrunderea WannaCrypt
Cu toate acestea devin o victimă a fraudei sau activitatea serviciilor speciale, dar în fereastra UAC, a refuzat să furnizeze fișierul executabil virusul ridicat de privilegii? Apoi salvați datele posibil.
- Reboot și a alerga PC-ul în Safe Mode cu Networking.
- Descărcați aplicația pentru îndepărtarea virusurilor, cum ar fi anti-malware, avz.
- Noi scana calculatorul și a elimina toate fișierele rău intenționate.
- După distrugerea tuturor urmelor de încărcare virus utilitate-interpret și o cerere de lucru cu copii în umbră (Shadow Explorer).
În cazul în care pentru a confirma eliminarea copiei umbra, pentru a primi înapoi la datele private va fi foarte dificil.
După cum puteți vedea, astfel încât să se protejeze de amenințările teribile nu este dificil, și este mult mai ușor decât să se ocupe de consecințele funcționării acestuia. Și aceste reguli și reglementări simple sunt neglijate, chiar și în instituțiile de la nivel de stat, pentru care a plătit cu informații valoroase.
V-aș fi recunoscător dacă utilizați butoanele: