Вирус Wanna Cry стал настоящим кошмаром для полумиллиона пользователей по всему миру. Пострадали не только простые пользователи, но и организации.

Всего несколько недель назад мировой интернет взорвала новость о появлении новой технологической угрозы, лекарства от которого на тот момент не находилось. Вирус Wanna Cry проник более, чем в 500 тысяч компьютеров и полностью парализовал их работу. Что это за невиданной силы угроза и есть ли от нее спасение? Попробуем разобраться.

Вирус Wanna Cry — описание

В буквальном переводе словосочетание Wanna Cry означает «Хочу плакать». И действительно, как тут сдержать слезы, если подлый сетевой червь блокирует операционную систему компьютера, буквально не позволяя пользователю ничего сделать, а в качестве выкупа программа-вымогатель Wanna Cry требует внести на определенный электронный кошелек сумму в размере 300 долларов, причем в биткоиновом эквиваленте. То есть, отследить автора программы-вымогателя невозможно, задействуя обычные приемы поиска сетевых злоумышленников.

Самая массированная атака состоялась 12 мая сего года. Более 70 стран пострадали во время нее, причем, как известно на сегодняшний день, вирус-шифровальщик Wanna Cry особенно активно проявил себя в России, Украине и Индии. Именно в этих странах насчитывается больше всего пострадавших. Зато среди них преимущественно обычные пользователи, а вот в странах Европы и Америки хакеры «прошлись» по госучреждениям. Госпитали, телекоммуникационные компании и даже правительственные учреждения были вынуждены приостановить свою деятельность из-за того, что компьютеры были заражены шифровальщиком, вымогающим средства. Справедливости ради стоит отметить, что и в Российской Федерации очень многие предприятия и муниципальные организации подвергались атаке, но, видимо, российская система антихакерской защиты оказалась надежнее, чем иностранная. Так, поступали сообщения о попытках взлома информационных систем РЖД, МВД, МЧС, Центробанка, компаний связи. Но везде либо червь удавалось быстро локализовать, либо попытки проникнуть в ПК учреждений не увенчались успехом.

Как происходит заражение вирусом Wanna Cry

Всех интересует вопрос, как распространяется вирус Wanna Cry? Почему так много пользователей стали его жертвами?

Метод распространения шифровальщика весьма и весьма прост. Вирус сканирует прямо в открытых источниках в интернете узлы, где видно, открыт ли порт TCP 445, отвечающий за обслуживание протокола удаленного доступа к файлам (SMBv1). Если такой компьютер обнаруживается, то вредоносная программа начинает предпринимать попытки задействовать уязвимость EternalBlue, и если данное мероприятие оканчивается успешно, то происходит установка бэкдора DoublePulsar. Через него-то и загружается на выбранный компьютер исполняемый код. Могут быть варианты, когда бэкдор уже стоит в системе по умолчанию, тогда задача вируса становится еще проще: просто загрузить в пользовательский компьютер вредоносную информацию.

Примечательно, что также вирус может попасть в ПК через электронную почту вместе с файлами, якобы не вызывающими подозрения.

Как работает вирус Wanna Cry

В остальном же вирус-вымогатель ведет себя, как и любой подобный ему. Так, для каждого устройства он генерирует собственные пары ключей, а после этого «проходит» по всей системе, выбирая файлы определенных типов и шифруя их по алгоритму AES-128-CBC с помощью случайно сгенерированного ключа, а тот, в свою очередь, шифруется с помощью открытого ключа RSA. Его-то и указывает в заголовке зашифрованного файла вирус Wanna Cry. Потому лечение по классической схеме оказывается бесполезным. Нужен особенный подход.

Как защититься от вируса Wanna Cry

Защита от вируса wanna cry не так сложна, как может показаться на первый взгляд. Достаточно просто скачать патч от Microsoft против вируса Wanna Cry.

Разработчики постарались и в экстренные сроки, буквально за два дня, выпустили в свет специальные расширения/обновления абсолютно для всех работающих версий Windows, в том числе, и для XP, у которой по-прежнему немало пользователей по всему миру.

Это способ предупредить заражение при возможной следующей атаке вируса Wanna Cry. Но что делать тем, чей компьютер уже подвергся хакерскому произволу? К сожалению, пока ничего обнадеживающего сказать невозможно, поскольку расшифровать поврежденные файлы еще ни у кого не получилось. Но можно хотя бы подготовить себя к возможной атаке. Так, если «заплатка» проблемных зон от microsoft обнаружит червячка, она непременно спросит, что с ним делать. В общем, принцип такой же, как и у сотен антивирусников.

Поэтому, на вопрос, как удалить вирус Wanna Cry, ответ может быть пока что единственный и не самый радужный: просто не допустить проникновения зловредного исполнительного кода в свой компьютер. И, конечно, ждать, пока ведущие разработчики предоставят мощный антивирус, способный противостоять Wanna Cry.

Вирус WannaCry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.

Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:

• коммерческих компаний;
• государственных структур;
• физических лиц.

Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:

• Индия;
• Украина;
• Россия.

За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.

Стоит ли ждать новой волны заражения и как обезопасить свой компьютер?

Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.

Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.

Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.

По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.

Профилактика и лечение

Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.

Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.

Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.

Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.

В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.

Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:

• выполнить специальный скрипт в утилите АВЗ;
• проверить настройки в системе HijackThis;
• запустить специализированное программное обеспечение Farbar Recovery Scan Tool.

При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.

Как обновить свою систему с точки зрения безопасности?

Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.

Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:

• 3210720;
• 3210721;

Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.

Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.

(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками.

Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю...

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему?

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

1. Отключить неиспользуемые сервисы, включая SMB v1.

• Выключить SMBv1 возможно используя PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Через реестр:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
• Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=disabled

1. Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

1. Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Вирус Wanna Cry – новый вид хакерской атаки, вредоносная программа-вымогатель заставил содрогнуться пользователей ПК и Интернета по всему миру. Как работает вирус Wanna Cry, можно ли от него защититься, и если можно, то – как?

Вирус Wanna Cry, описание – вид вредоносного ПО, относящееся к категории RansomWare , программа-вымогатель. При попадании на жесткий диск жертвы, Wanna Cry действует по сценарию своих «коллег», таких как TrojanRansom.Win32.zip , шифруя все персональные данные всех известных расширений. При попытке просмотра файла пользователь видит на экране требование заплатить n-ную сумму денег, якобы после этого злоумышленник вышлет инструкцию по разблокировке.

Зачастую вымогательство денег осуществляется с помощью СМС-пополнения специально созданного счета, но в последнее время для этого используется сервис анонимных платежей BitCoin .

Вирус Wanna Cry – как работает. Wanna Cry представляет собой программу под названием WanaCrypt0r 2.0 , которая атакует исключительно ПК на OC Windows. Программа использует для проникновения «дыру» в системе - Microsoft Security Bulletin MS17-010 , существование которой было ранее неизвестно. На данный момент доподлинно неизвестно, как хакеры обнаружили уязвимость MS17-010. Бытует версия о диверсии производителей противовирусного ПО для поддержания спроса, но, конечно, никто не списывает со счетов интеллект самих хакеров.

Как это ни печально, распространение вируса Wanna Cry осуществляется простейшим способом – через электронную почту. Открыв письмо со спамом, запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.

Вирус Wanna Cry – как защититься, лечение. WanaCrypt0r 2.0 использует при атаке уязвимости в сетевых службах Windows. Известно, что Microsoft уже выпустила «заплатку» - достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows – при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии.

Защититься от Wanna Cry можно, соблюдая несколько простых правил:

• вовремя осуществлять обновление системы –все зараженные ПК не были обновлены
• пользоваться лицензионной ОС
• не открывать сомнительные электронные письма
• не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия

Как сообщают СМИ, производители антивирусного ПО будут выпускать обновления для борьбы с Wanna Cry, так что обновление антивируса также не стоит откладывать в долгий ящик.