{"id":2158,"url":"\/distributions\/2158\/click?bit=1&hash=583a372f0bca7b1deedf74c1438fbf94e52d0976315acc2dcfa3b84a8e724b7d","title":"\u041a\u0443\u0434\u0430 \u0443\u0442\u0435\u043a\u0430\u0435\u0442 \u043c\u043e\u0439 \u0431\u044e\u0434\u0436\u0435\u0442 \u043d\u0430 \u0440\u0435\u043a\u043b\u0430\u043c\u0443?","buttonText":"\u041a \u043c\u043e\u0448\u0435\u043d\u043d\u0438\u043a\u0430\u043c","imageUuid":"f14d918a-59c9-5701-b718-30025e0ce469","isPaidAndBannersEnabled":false}

Как обезопасить себя от вируса, заразившего компьютеры по всему миру Статьи редакции

Первые действия обычного пользователя.

Почти единовременные сообщения о масштабных сбоях во многих странах могли вызвать панику и ощущение незащищённости среди обычных пользователей сети.

Жертвами программы-шифровальщика в основном стали сервера крупных организаций, у которых злоумышленники намеревались украсть деньги. От воздействия не были застрахованы обычные пользователи, правда, защититься от вируса просто.

Распространение вируса

Вирус представляет собой новую версию WannaCry (WNCRY) и называется Wana Decrypt0r 2.0. Есть несколько способов заразить им компьютер. Вредоносное программное обеспечение может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки.

Но основным вариантом становятся отправленные на электронную почту письма. Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идёт о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).

Что делает вирус

Проникнув в систему, троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.

Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелёк. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.

Обновление

Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. Речь идёт о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

В антивирусе необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.

Удаление

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Восстановление

Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

0
107 комментариев
Написать комментарий...
Всеобщий самолет
Как обезопасить себя от вируса, заразившего компьютеры по всему миру, если ты живешь в России.
Ответить
Развернуть ветку
Мясной чувак

Комментарий недоступен

Ответить
Развернуть ветку
Бледный цветок

на выборах тоже по всякой хуйне кликают из года в год)

Ответить
Развернуть ветку
Значимый диод

Накликали беду

Ответить
Развернуть ветку
Актерский каякер

в почте этотеще хуйня

Ответить
Развернуть ветку
Пенсионный шмель

Купить Mac

Ответить
Развернуть ветку
Достойный паркур

Поставить линукс.

Ответить
Развернуть ветку
12 комментариев
Алюминиевый пёс_анон

Ппц убогая статья, основной способ заражения, распространение по локалке, через дыру в винде. А автор делает акцент, что ни кликайте по всякой хуйне и всё будет ок. И судя по комментарием, большинство это так и восприняли, что сиди на древней семёрке без патчей, делай вид что ты такой умный и тогда не один вирус сам не появится в системе. На хер такие статьи.

Ответить
Развернуть ветку
Совершенный фитиль

Самое действенное, что можно сделать, если вирус в системе-отрубить комп от питания, сделать резервную копию и только потом разбираться с последствиями

Ответить
Развернуть ветку
Дорогой ящик

то есть чтобы вместо одного зараженного компьютера было два зараженных пк?

Ответить
Развернуть ветку
9 комментариев
Собачий шмель

Граждане, храните данные в облаках...

Ответить
Развернуть ветку
2 комментария
Примитивный микроскоп

прочитал статью. ну пздц, или мне кажется или написали какую-то хуиту. если бы это был обычный шифровальщик не было бы столько заражений ибо шифровать файлы баян-бабаян. новая фича в том что к шифровальщику прикрутили сплоит от анб, который слили не так давно. (их труды не прошли даром :D) Так вот о чем это я, ах да, сидите вы такой на работе, подключенный к сетке, а клава из бухгалтерии таки ловит эту дрянь через письмо, котиков, одноклассников. и хуй бы с ней, но вот тут то и начинается основное веселье, если в сети будут компы без последних обновлений они так же заразятся

Ответить
Развернуть ветку
Публичный американец

Выдыхай

Ответить
Развернуть ветку
Жидкий корабль
пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов

кто-нибудь хоть раз ловил вирусы на рутрекере?

Ответить
Развернуть ветку
Богатый якорь

Даже на бухте не ловил.

Ответить
Развернуть ветку
Учащийся файл

Комментарий недоступен

Ответить
Развернуть ветку
4 комментария
Достаточный Валера

тактактак, смотрю новости про Charlie Hebdo и Кадырова не было пока

Ответить
Развернуть ветку
Удачный волк

все знают, но написать страшно - извинятся придется)

Ответить
Развернуть ветку
Полезный микрофон

Охуеть какая новость, аж еле нашёл.

Ответить
Развернуть ветку
Корпоративный дым

Никогда не устанавливал антивирусы на виндус

Уверен, что причиной попадания вирусов является обыкновенная неграмотность и глупость пользователей

Ответить
Развернуть ветку
Бледный цветок

С антивирусом ощущения не те?)

Ответить
Развернуть ветку
Ракетный файл

Никогда не устанавливал виндус.

Уверен, что причиной попадания вирусов является виндус.

Ответить
Развернуть ветку
Аналогичный спрей

Если не используются эксплойты в браузерах, то так и есть

Ответить
Развернуть ветку
Неверный хичхакер

написанное не соответствует действительности, на самом деле вирус использует уязвимость протокола SMBv1 и для заражения не надо ничего открывать/скачивать

заражение выглядит примерно так: https://twitter.com/hackerfantastic/status/852958717746315264?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fgeektimes.ru%2Fpost%2F289115%2F

достаточно иметь ip компьютера и открытый порт

Ответить
Развернуть ветку
Золотой Абдужаббор

Не открывайте эту ссылку там вирус!

Ответить
Развернуть ветку
9 комментариев
Ракетный файл

Ну да. В этом и уникальность данного поделия. А такие шифровальшики то уже давно не новость. По почте рассылают, дурачки кликают и до свидания. Бекапы они, конечно же, не делают, поэтому приходится платить злоумышленникам. Причём самое смешное, что обычно жертвы заявляют, мол "давай заплатим, тут 200 баксов, это херня, инфа дороже", и бегут платить хрен пойми кому, даже не ставя под сомнение тот факт, что после оплаты им обязательно дадут ключ для расшифровки.

Но это ещё не все, бывают и сисадмины конченые дебилоиды: слышал историю, как подобная штука навернула конторе сервер (он, разумеется, был на винде) с кучей всего (базы, документы, все такое). Причём они даже делали бекап на USB-хард, но он, разумеется, выполнялся с одного и того же аккаунта, что и все остальное (включая, как раз, и вирус), диск был постоянно примонтирован, и шифровальщик спокойно бекап поглотил.

В общем, все это на дурака в основном. А дураков, к сожалению, много у нас. В нормальных конторах, где админы грамотно работают, бекапится все по расписанию на такой случай, потому что предотвратить нажатие идиётом какой-нибудь ссылки в письме практически невозможно. Учитывая то, что такая херовина — явление далеко не новое, могли бы уже и усвоить. Ну и хоть сервера то на винде не держать, да.

Ответить
Развернуть ветку
1 комментарий
Далекий щит
Вредоносное программное обеспечение <…> пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов

Вот не надо «ля-ля». Скорее, заражение наиболее часто происходит не из-за трекеров и торентов, а сайтов вроде «ЖМИ СКАЧАТЬ БИСПЛАТНО без СМС!!1». На любом трекере раздачи проверяются и подозрительные помечаются.

Ответить
Развернуть ветку
Публичный американец

Т.е. правила игры не меняются? Не качай хуйпаймичто, не запускай хуйпаймичто? Я правильно понял?

Ответить
Развернуть ветку
Бессмысленный торшер

Комментарий недоступен

Ответить
Развернуть ветку
8 комментариев
Удачный волк
MEM:Trojan.Win64.EquationDrug.gen

такие вот мемы, всего доброго

Ответить
Развернуть ветку
Зарубежный томагавк_два

А мне кажется проще просто переустановить систему?)))

Ответить
Развернуть ветку
Заинтересованный магнит

ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШINDOWS

ШINDOWS САМ НЕ ПЕРЕУСТАНОВИТСЯ

ПЕРЕУСТАНОВИ ЕГО, ПЕРЕУСТАНОВИ ЕГО ЕЩЕ РАЗ

Ответить
Развернуть ветку
1 комментарий
Гордый кран

Чем проще то? Файлы то уже один хрен зашифрованы. Плюс, после переустановки уже не получится восстановить удаленные вирусом исходные нешифрованные файлы, т.к. еще данные писались на диск при переустановке. Ну или получится, но с ошибками, а зачем тебе битые файлы?

Ответить
Развернуть ветку
Золотой Абдужаббор

Если это троян и распространяется почтовыми вложениями то при чём тут уязвимости smb?

Ответить
Развернуть ветку
Бледный цветок

Скорее всего, почтовое вложение - входная точка для попадания в сеть. Далее по сетке распространяется через уязвимость smb, насколько я понимаю. Потому и разлетается внутри локалок так быстро.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Мучительный диод
документах с вредоносными макросами (например, файлах Microsoft Word).

В libreoffice работает?

Ответить
Развернуть ветку
Дорогой блик

libreoffice есть для винды? Ну макросы там тоже работают, но на линуксе опасности нет

Ответить
Развернуть ветку
1 комментарий
Актерский каякер

журналист изнасиловал тракториста

Ответить
Развернуть ветку
Будущий кавалер
Жертва получает инфекцию, кликнув по вредоносному вложению

Шел 2017 год, они всё ещё открывали вложения из незнакомых писем..

Ответить
Развернуть ветку
Неведомый ключ

Читните на гиктаймс. Там дыра в протоколе smb. Насколько понял, чтобы словить - достаточно наружу прокинуть порт. Апдейтами уже пофиксили пару месяцев назад.

Ответить
Развернуть ветку
Богатый якорь

В общем точно так же, как и от любого другого вируса - не качать что попало и не заходить куда попало.

Ответить
Развернуть ветку
Ласковый кот

Спасибо за статью, но я не думаю, что кому-то нужно будет взламывать меня из-за 100 гигов аниме и мемов.

Ответить
Развернуть ветку
Удачный волк

100 гигов мемов?!

Shut up and диктуй IP

Ответить
Развернуть ветку
Бледный цветок

"Спасибо за статью", звучит как название мемуаров Соколовского, например :)

Ответить
Развернуть ветку
Умерший крюк

Всегда немного удивляюсь, видя такую позицию. Эти 100 гигов сокровищ нужны не вирусу и не хакерам, а тебе. А ты, потеряв, свои 100 гигов аниме и мемов, будешь грустить. Или заплатишь, если дорожишь ими очень сильно

Ответить
Развернуть ветку
15 комментариев
Бледный цветок

А вообще, этой заразе похер что шифровать, но хоть над мемчиками может поорет)

Ответить
Развернуть ветку
Ракетный файл

Зря эти ребята сделали возможность восстановления некоторых файлов в самой программе бесплатно. Потому что с помощью реверс инжиниринга скорее всего найдут способ расшифровки. Хотя, с другой стороны, в противном случае им мало кто бы отослал деньги.

Ответить
Развернуть ветку
Умственный Орзэмэс

Думаю, никто в своем уме не перевел бы ни копейки, если бы не поверил в возможность расшифровки.

Ответить
Развернуть ветку
Столичный американец

А у меня утром сетевой кабель сдох.

VIRUS, ETO TI?

Ответить
Развернуть ветку
Читать все 107 комментариев
null