Главная » 2017 » Май » 21 » Вирус Wanna Сry как не подхватить заразу и что делать?

Вирус Wanna Сry как не подхватить заразу и что делать?

Всем привет, последнее время очень много новостей о вирусе Wanna Сry (Wana Decrypt0r), кого то этот вирус уже посетил, а кто то боится его подхватить. В этой статье я расскажу как оградить свой компьютер от вируса Wanna Сry.

Откуда берется Wanna Сry?

На начальном этапе зарождения вируса Wanna Сry он распространялся через электронные письма. Человек открывает свою почту, видит там интригующее письмо с ссылкой на вредоносный сайт. После перехода на такой сайт без антивируса с фаерволом, компьютер мгновенно заражается вирусом, а вирус начинает распространятся по сети на все не защищенные компьютеры. То есть заразится можно даже если вы никуда не переходили, но ваш компьютер не защищен фаерволом. Вирус заражает компьютеры по сети через уязвимость в SMBv1. Больше всего заражению подвержены компьютеры с старыми ОС: Windows XP, Vista, 7. Но заразится можно даже на Windows 8.1 и старых версиях 10. На данный момент заражено уже почти пол миллиона компьютеров во всем мире и это всего за 9 дней с момента начала распространения.

вирус Wanna Сry

Как работает Wanna Сry?

При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:

  •     b.wnry
  •     c.wnry
  •     r.wnry
  •     s.wnry
  •     t.wnry
  •     taskdl.exe
  •     taskse.exe
  •     u.wnry

После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.

На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.

Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после того как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».

Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @Please_Read_Me@.txt — содержит инструкцию по-расшифровке файлов и @WanaDecryptor@.exe — дешифровщик зашифрованных файлов.

На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно.

Как защитится от Wanna Сry?

Есть несколько методов борьбы с вирусом Wanna Сry, это:

Отключение общего доступа к файлам SMB1. Панель управления -- Программы и компоненты -- Включение или отключение компонентов Windows -- найдите компонент: поддержка общего доступа к файлам SMB1 и уберите галочку, после потребуется перезагрузка компьютера. После отключения вирус просто не сможет использовать данную уязвимость так как она будет отключена.

отключение SMB1

Отключение порта 445. Что бы отключить его через стандартный брандмауэр или защитник нужно зайти Панель управления -- Брандмауэр windows -- Дополнительные параметры -- Правила для входящих подключений -- нажать кнопку создать правило -- для порта -- нажать далее -- выбрать протокол TCP и прописать 445 порт -- нажать далее -- выбрать блокировать подключение -- оставьте все галки в следующем окне -- в окне имени можете написать анти Wanna Сry.
отключение 445 порта

Таким образом порт будет отключен и заразить компьютер вирус Wanna Сry не сможет. Если у вас стоит сторонний фаервол/антивирус, то вам нужно посмотреть инструкцию по блокированию портов для вашего фаервола/антивируса на сайте производителя.

Если у вас стоит один из популярных фаерволов, то беспокоится о порте 445 не стоит, на сегодня все крупные фаерволы уже защищают 445 от вторжения Wanna Сry.

Есть еще один способ избежать вторжения вируса Wanna Сry на ваш компьютер. Нужно просто установить специальное обновление на ваш Windows. Ссылки на защитное обновление от вируса Wanna Сry:

Хочу предупредить, у тех у кого стоит не оригинальная сборка Windows или кривой активатор могут быть проблемы мс установкой этих обновлений!

Для Windows 10 (1703) обновление не нужно так как оно интегрировано в систему, обновление для последней 10 не нужно.

Что делать если компьютер уже заражен вирусом Wanna Сry?

В этом случае хорошего мало и нужно попытаться не дать вирусу зачистить диск после шифрования файлов. В момент шифрования файлов вы можете увидите сообщение UAC на разрешение доступа к диску, его ни в коем случае нельзя давать. если не дать такое разрешение то зашифрованные файлы можно будет восстановить с диска как и любые другие удаленные файлы. Это я показывал в одном из своих видео. Если вы дали добро на затирку диска или у вас отключен контроль учетных записей (UAC), то восстановить файлы будет тяжело. Чтобы не потерять файлы во время восстановления, перед восстановлением рекомендую проверить компьютер на вирусы и удалить вирус.

Так же восстановить файлы возможно если у вас включено теневое копирование тома.

  • Скачайте программу ShadowExplorer. Программа внутри архива. Извлеките из архива все файлы. Откройте папку ShadowExplorerPortable.
  • Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
  • Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
  • И последнее, выберите папку в которую будет скопирован восстановленный файл.

Других способов восстановления файлов пока не известно. Хочу предупредить что платить деньги за расшифровку файлов не стоит, так как файлы все равно не будут расшифрованы.

Что дальше?

На данный момент вирус продолжает развиваться и мутировать, возможны новые вспышки заражения. Поэтому я крайне рекомендую всем серьезно оттеснить к угрозе. Используйте антивирусы и фаерволы, не забывайте устанавливать последние критические обновления для Windows, следите за ситуаций в мире и быстро реагируйте на новые угрозы. При таком подходе ваш компьютер будет в безопасности! Еще больше информации о вирусе Wanna Сry в моем стриме смотрите ниже:



Категория: Настройка компьютера | Просмотров: 8586 | Добавил: | Теги: удалить Wanna Сry, Wana Decrypt0r, Wanna Сry, воссстановить файлы Wanna Сry, Вирус | Рейтинг: 5.0/1
Всего комментариев: 13.
avatar
13 GP • 19:17, 05.06.2017
gp
avatar
11 word • 18:30, 24.05.2017
у меня стоит пиратка виндовс 7 64х и я скачал обнову. У меня всё хорошо. Или спалят?
avatar
0
12 Спец-комп • 20:54, 24.05.2017
Никто ничего не спалит
avatar
3 maksimkryloff2013 • 21:18, 21.05.2017
win 7 32 bit
avatar
0
4 Спец-комп • 21:25, 21.05.2017
Может не быть только если это не оригинальная сборка.
avatar
5 maksimkryloff2013 • 21:36, 21.05.2017
это то что показывает прога ccleaner о моём компе,если верить ей windows 7 ultimate 32-bit sp1 так как мне этот комп передался по наследству так сказать б/у. На счёт сборки не могу сказать все Майкрософтовские обновления приходят раз или 2 в месяц и устанавливаются без проблем. Обновление о котором говорите вы, было установлено в марте.
avatar
0
6 Спец-комп • 22:50, 21.05.2017
Если обновление установлено, бояться нечего.
avatar
7 maksimkryloff2013 • 22:59, 21.05.2017
А что этот вирус кроме шифрования файлов может сделать? Вирус вандал выходит? У меня уже давно всё что мне нужно на облаке хранится.
avatar
0
8 Спец-комп • 23:01, 21.05.2017
Это хорошо что в облаке, этот вирус самый быстро-развивающийся за последние годы.
avatar
9 maksimkryloff2013 • 23:16, 21.05.2017
А какой опаснее вирус, этот вана край, или винлокер?
avatar
0
10 Спец-комп • 11:19, 22.05.2017
Вана край распространяется намного быстрее чем винлокер.
avatar
1 maksimkryloff2013 • 21:12, 21.05.2017
Вот у меня нет такого пункта что на вашем скрин. поддержка общего доступа к файлам SMB1... Выходит у меня нет такой уязвимости?
avatar
0
2 Спец-комп • 21:14, 21.05.2017
Возможно, что у вас за виндовс?
avatar