Как обезопасить себя от вируса, заразившего компьютеры по всему миру Статьи редакции
Первые действия обычного пользователя.
Почти единовременные сообщения о масштабных сбоях во многих странах могли вызвать панику и ощущение незащищённости среди обычных пользователей сети.
Жертвами программы-шифровальщика в основном стали сервера крупных организаций, у которых злоумышленники намеревались украсть деньги. От воздействия не были застрахованы обычные пользователи, правда, защититься от вируса просто.
Распространение вируса
Вирус представляет собой новую версию WannaCry (WNCRY) и называется Wana Decrypt0r 2.0. Есть несколько способов заразить им компьютер. Вредоносное программное обеспечение может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки.
Но основным вариантом становятся отправленные на электронную почту письма. Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идёт о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).
Что делает вирус
Проникнув в систему, троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.
Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.
Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелёк. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.
Обновление
Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. Речь идёт о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.
В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.
После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.
В антивирусе необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.
Удаление
Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.
1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
Восстановление
Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.
Комментарий недоступен
на выборах тоже по всякой хуйне кликают из года в год)
Накликали беду
в почте этотеще хуйня
Купить Mac
Поставить линукс.
Ппц убогая статья, основной способ заражения, распространение по локалке, через дыру в винде. А автор делает акцент, что ни кликайте по всякой хуйне и всё будет ок. И судя по комментарием, большинство это так и восприняли, что сиди на древней семёрке без патчей, делай вид что ты такой умный и тогда не один вирус сам не появится в системе. На хер такие статьи.
Самое действенное, что можно сделать, если вирус в системе-отрубить комп от питания, сделать резервную копию и только потом разбираться с последствиями
то есть чтобы вместо одного зараженного компьютера было два зараженных пк?
Граждане, храните данные в облаках...
прочитал статью. ну пздц, или мне кажется или написали какую-то хуиту. если бы это был обычный шифровальщик не было бы столько заражений ибо шифровать файлы баян-бабаян. новая фича в том что к шифровальщику прикрутили сплоит от анб, который слили не так давно. (их труды не прошли даром :D) Так вот о чем это я, ах да, сидите вы такой на работе, подключенный к сетке, а клава из бухгалтерии таки ловит эту дрянь через письмо, котиков, одноклассников. и хуй бы с ней, но вот тут то и начинается основное веселье, если в сети будут компы без последних обновлений они так же заразятся
Выдыхай
кто-нибудь хоть раз ловил вирусы на рутрекере?
Даже на бухте не ловил.
Комментарий недоступен
тактактак, смотрю новости про Charlie Hebdo и Кадырова не было пока
все знают, но написать страшно - извинятся придется)
Охуеть какая новость, аж еле нашёл.
Никогда не устанавливал антивирусы на виндус
Уверен, что причиной попадания вирусов является обыкновенная неграмотность и глупость пользователей
С антивирусом ощущения не те?)
Никогда не устанавливал виндус.
Уверен, что причиной попадания вирусов является виндус.
Если не используются эксплойты в браузерах, то так и есть
написанное не соответствует действительности, на самом деле вирус использует уязвимость протокола SMBv1 и для заражения не надо ничего открывать/скачивать
заражение выглядит примерно так: https://twitter.com/hackerfantastic/status/852958717746315264?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fgeektimes.ru%2Fpost%2F289115%2F
достаточно иметь ip компьютера и открытый порт
Не открывайте эту ссылку там вирус!
Ну да. В этом и уникальность данного поделия. А такие шифровальшики то уже давно не новость. По почте рассылают, дурачки кликают и до свидания. Бекапы они, конечно же, не делают, поэтому приходится платить злоумышленникам. Причём самое смешное, что обычно жертвы заявляют, мол "давай заплатим, тут 200 баксов, это херня, инфа дороже", и бегут платить хрен пойми кому, даже не ставя под сомнение тот факт, что после оплаты им обязательно дадут ключ для расшифровки.
Но это ещё не все, бывают и сисадмины конченые дебилоиды: слышал историю, как подобная штука навернула конторе сервер (он, разумеется, был на винде) с кучей всего (базы, документы, все такое). Причём они даже делали бекап на USB-хард, но он, разумеется, выполнялся с одного и того же аккаунта, что и все остальное (включая, как раз, и вирус), диск был постоянно примонтирован, и шифровальщик спокойно бекап поглотил.
В общем, все это на дурака в основном. А дураков, к сожалению, много у нас. В нормальных конторах, где админы грамотно работают, бекапится все по расписанию на такой случай, потому что предотвратить нажатие идиётом какой-нибудь ссылки в письме практически невозможно. Учитывая то, что такая херовина — явление далеко не новое, могли бы уже и усвоить. Ну и хоть сервера то на винде не держать, да.
Вот не надо «ля-ля». Скорее, заражение наиболее часто происходит не из-за трекеров и торентов, а сайтов вроде «ЖМИ СКАЧАТЬ БИСПЛАТНО без СМС!!1». На любом трекере раздачи проверяются и подозрительные помечаются.
Т.е. правила игры не меняются? Не качай хуйпаймичто, не запускай хуйпаймичто? Я правильно понял?
Комментарий недоступен
такие вот мемы, всего доброго
А мне кажется проще просто переустановить систему?)))
ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШINDOWS
ШINDOWS САМ НЕ ПЕРЕУСТАНОВИТСЯ
ПЕРЕУСТАНОВИ ЕГО, ПЕРЕУСТАНОВИ ЕГО ЕЩЕ РАЗ
Чем проще то? Файлы то уже один хрен зашифрованы. Плюс, после переустановки уже не получится восстановить удаленные вирусом исходные нешифрованные файлы, т.к. еще данные писались на диск при переустановке. Ну или получится, но с ошибками, а зачем тебе битые файлы?
Если это троян и распространяется почтовыми вложениями то при чём тут уязвимости smb?
Скорее всего, почтовое вложение - входная точка для попадания в сеть. Далее по сетке распространяется через уязвимость smb, насколько я понимаю. Потому и разлетается внутри локалок так быстро.
Комментарий удален модератором
В libreoffice работает?
libreoffice есть для винды? Ну макросы там тоже работают, но на линуксе опасности нет
журналист изнасиловал тракториста
Шел 2017 год, они всё ещё открывали вложения из незнакомых писем..
Читните на гиктаймс. Там дыра в протоколе smb. Насколько понял, чтобы словить - достаточно наружу прокинуть порт. Апдейтами уже пофиксили пару месяцев назад.
В общем точно так же, как и от любого другого вируса - не качать что попало и не заходить куда попало.
Спасибо за статью, но я не думаю, что кому-то нужно будет взламывать меня из-за 100 гигов аниме и мемов.
100 гигов мемов?!
Shut up and диктуй IP
"Спасибо за статью", звучит как название мемуаров Соколовского, например :)
Всегда немного удивляюсь, видя такую позицию. Эти 100 гигов сокровищ нужны не вирусу и не хакерам, а тебе. А ты, потеряв, свои 100 гигов аниме и мемов, будешь грустить. Или заплатишь, если дорожишь ими очень сильно
А вообще, этой заразе похер что шифровать, но хоть над мемчиками может поорет)
Зря эти ребята сделали возможность восстановления некоторых файлов в самой программе бесплатно. Потому что с помощью реверс инжиниринга скорее всего найдут способ расшифровки. Хотя, с другой стороны, в противном случае им мало кто бы отослал деньги.
Думаю, никто в своем уме не перевел бы ни копейки, если бы не поверил в возможность расшифровки.
А у меня утром сетевой кабель сдох.
VIRUS, ETO TI?