Как обезопасить себя от вируса, заразившего компьютеры по всему миру Статьи редакции
Первые действия обычного пользователя.
Почти единовременные сообщения о масштабных сбоях во многих странах могли вызвать панику и ощущение незащищённости среди обычных пользователей сети.
Жертвами программы-шифровальщика в основном стали сервера крупных организаций, у которых злоумышленники намеревались украсть деньги. От воздействия не были застрахованы обычные пользователи, правда, защититься от вируса просто.
Распространение вируса
Вирус представляет собой новую версию WannaCry (WNCRY) и называется Wana Decrypt0r 2.0. Есть несколько способов заразить им компьютер. Вредоносное программное обеспечение может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки.
Но основным вариантом становятся отправленные на электронную почту письма. Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идёт о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).
Что делает вирус
Проникнув в систему, троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.
Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.
Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелёк. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.
Обновление
Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. Речь идёт о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.
В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.
После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.
В антивирусе необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.
Удаление
Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.
1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
Восстановление
Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.
Ппц убогая статья, основной способ заражения, распространение по локалке, через дыру в винде. А автор делает акцент, что ни кликайте по всякой хуйне и всё будет ок. И судя по комментарием, большинство это так и восприняли, что сиди на древней семёрке без патчей, делай вид что ты такой умный и тогда не один вирус сам не появится в системе. На хер такие статьи.
прочитал статью. ну пздц, или мне кажется или написали какую-то хуиту. если бы это был обычный шифровальщик не было бы столько заражений ибо шифровать файлы баян-бабаян. новая фича в том что к шифровальщику прикрутили сплоит от анб, который слили не так давно. (их труды не прошли даром :D) Так вот о чем это я, ах да, сидите вы такой на работе, подключенный к сетке, а клава из бухгалтерии таки ловит эту дрянь через письмо, котиков, одноклассников. и хуй бы с ней, но вот тут то и начинается основное веселье, если в сети будут компы без последних обновлений они так же заразятся
написанное не соответствует действительности, на самом деле вирус использует уязвимость протокола SMBv1 и для заражения не надо ничего открывать/скачивать
заражение выглядит примерно так: https://twitter.com/hackerfantastic/status/852958717746315264?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fgeektimes.ru%2Fpost%2F289115%2F
достаточно иметь ip компьютера и открытый порт
Напомнило эпичный тред на ЛОР про однострочник на Perl https://www.linux.org.ru/forum/development/392747
Самый опасный вирус находится по ту сторону экрана и смотрит на этот текст.
Ну да. В этом и уникальность данного поделия. А такие шифровальшики то уже давно не новость. По почте рассылают, дурачки кликают и до свидания. Бекапы они, конечно же, не делают, поэтому приходится платить злоумышленникам. Причём самое смешное, что обычно жертвы заявляют, мол "давай заплатим, тут 200 баксов, это херня, инфа дороже", и бегут платить хрен пойми кому, даже не ставя под сомнение тот факт, что после оплаты им обязательно дадут ключ для расшифровки.
Но это ещё не все, бывают и сисадмины конченые дебилоиды: слышал историю, как подобная штука навернула конторе сервер (он, разумеется, был на винде) с кучей всего (базы, документы, все такое). Причём они даже делали бекап на USB-хард, но он, разумеется, выполнялся с одного и того же аккаунта, что и все остальное (включая, как раз, и вирус), диск был постоянно примонтирован, и шифровальщик спокойно бекап поглотил.
В общем, все это на дурака в основном. А дураков, к сожалению, много у нас. В нормальных конторах, где админы грамотно работают, бекапится все по расписанию на такой случай, потому что предотвратить нажатие идиётом какой-нибудь ссылки в письме практически невозможно. Учитывая то, что такая херовина — явление далеко не новое, могли бы уже и усвоить. Ну и хоть сервера то на винде не держать, да.
Самое страшное, что такие идиоты регулируют сейчас интернет и будут отвечать за сохранность данных граждан после вступления в силу закона Яровой.
Чёрный рынок банковских карточек, паспортов и телефонов с адресами расцветёт с небывалой силой. Ибо кто застрахован, что какой-нибудь товарищ майор, который сейчас в интернет заходит музыку послушать да на одноклассниц посмотреть, не нажмёт на такую ссылку на рабочем компе.
Вредоносное программное обеспечение <…> пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов
Вот не надо «ля-ля». Скорее, заражение наиболее часто происходит не из-за трекеров и торентов, а сайтов вроде «ЖМИ СКАЧАТЬ БИСПЛАТНО без СМС!!1». На любом трекере раздачи проверяются и подозрительные помечаются.
Комментарий удален