tévék. Konzolok. Projektorok és tartozékok. Technológiák. Digitális TV

Wanna Cry vírus: védelem, kezelés, eltávolítás, visszafejtés. Vírus CRYPTED000007 – fájlok visszafejtése és ransomware eltávolítása Frissítés a sírás elleni védelem érdekében

Vírus Sírni akarok 2017. május 12-én jelent meg. A vírus egyéb nevei: WCry vagy WanaCrypt0r 2.0

A mai napig hozzávetőleges bizonyítékok állnak rendelkezésre arra vonatkozóan, hogy a vírus a világ hozzávetőleg 100 országában 135 ezer Windows számítógépet és laptopot fertőzött meg.

A vírus blokkolja a számítógépet. Ugyanakkor hasonló képet jelenít meg a képernyőn:

A vírus a Windows rendszerű számítógépeket érinti. A Microsoft gondoskodott felhasználóiról, és frissítéseket adott ki a Windows összes verziójához. Ezek a frissítések bezárják az operációs rendszer biztonsági rését, amely lehetővé teszi a Wanna Cry vírus mai verziójával való fertőzés elkerülését. A Microsoftnak hitelt kell adnunk. Még a közel 17 éves, 2014 óta nem támogatott Windows XP-hez is kiadott egy frissítést.


Hogyan védekezhet a vírus ellen?


Először is:

Annak érdekében, hogy a Windows a lehető legjobban védett legyen a vírustámadásokkal szemben, frissíteni kell a frissítéseket. Ehhez tegye a következőket:

  1. Windows 7 rendszeren lépjen a következőre: Vezérlőpult > Rendszer és biztonság Windows Update.




    Itt láthatja, hogy az automatikus Windows-frissítések engedélyezve vannak-e, és hogy vannak-e jelenleg elérhető fontos frissítések.
  2. Windows 10 esetén lépjen a következőre: Beállítások > Frissítés és biztonság .


  3. Windows 8.1 esetén lépjen a következőre: Vezérlőpult > Rendszer és biztonság Windows Update .


Az automatikus frissítések engedélyezésével sikeresen megtette az első lépést a ransomware vírusok elleni védekezésben.

Az alábbiakban olyan frissítések telepítésére vonatkozó utasításokat olvashat, amelyek megakadályozzák a Wcry vírus behatolását a Windows régebbi verzióiba.

Frissítés telepítése a Windows 7, 8.1, XP, Visa elavult verzióira.


Hadd emlékeztesselek arra, hogy az x86 a Windows nevében 32 bites verziót jelent. Az x64 ennek megfelelően a Windows 64 bites verziója.

Windows 10 x64: nem igényel frissítést,

Windows 10 (1511) x86: nem igényel frissítést,

Windows 10 (1511) x64: nem igényel frissítést,

Windows 10 (1607) x86: nem igényel frissítést,

Windows 10 (1607) x64: nem igényel frissítést,

Meg kell értenie, hogy a vírus fejlődni fog és megváltozik. Ezért további lépésekre lesz szükség az ellene való védekezéshez.

Ha szeretnél naprakész lenni, iratkozz fel a YouTube csatornámra (ha még nem iratkoztál fel).

Fontos! >

  1. Által Windows 10 kicsit tisztázódott a helyzet. Mindenki, aki megpróbált frissítéseket telepíteni a Windows 10 rendszerre, nem tudta megtenni.
    A Microsoft figyeli a ransomware vírus problémáját. Azt állítják, hogy a Windows 10 nem fogékony a vírus által okozott fertőzésre. Csak akkor, ha az automatikus frissítések engedélyezve vannak, és sikeresen telepítik. Ezért elég, ha a Windows 10 tulajdonosok megbizonyosodnak erről, és nem kell letölteni és telepíteni a frissítéseket, amelyekre mutató hivatkozásokat az alábbiakban talál.
    Akit érdekel, az elolvashatja ezeket a blogokat. Microsoft támogatás, tiszta angol nyelven :)
  2. Az úgynevezett „kalózokkal” kapcsolatban. Vagyis nem hivatalosan telepített Windows, mindenféle trükkös kulccsal aktiválva, aktivátorokkal, stb., stb.
    Ezzel a Windows rendszerrel több számítógépre és laptopra önállóan telepítettem frissítéseket. Ráadásul sok előfizetőmnél kalózok vannak telepítve. Csak egyszer találkoztam telepítési problémával. És már akkor is kiderült, hogy a frissítés már ott van telepítve. Ezért véleményem szerint lehetetlen azt mondani, hogy ez a frissítés „gátolja a Windows aktiválását”.
  3. És ami a legfontosabb! A cikkben és a blogomon található összes információ csak tájékoztató jellegű. Minden, amit a számítógépén és laptopján (ha van ilyen) tesz, saját kezdeményezésére történik.
    Egyedül Ön viseli a teljes felelősséget a tetteiért és azok eredményeiért..
    Ha nem biztos a képességeiben, jobb, ha szakemberhez fordul.

Hibák > a frissítések telepítése során fellépő hibák.

  1. Windows 7 x64. 0x80240037 számú hiba. Ez valószínűleg a Microsoft által 2016 januárjában bevezetett mesterséges korlátozásnak köszönhető a Windows 7 és a Windows 8.1 számára. A lényeg dióhéjban ez. A Microsoft azt akarja, hogy a felhasználók csak a Windows 10-et telepítsék a modern hardverekre (a legújabb processzorokra és alaplapokra). Belefáradt a Windows elavult verzióinak támogatásába, és nem teszi lehetővé számos frissítés telepítését a modern hardverrel rendelkező számítógépekre és laptopokra.
    Nyilvánvaló, hogy azoknak a számítógépei, akiknél ez a hiba van, a „modern” kategóriába tartoznak. Bővebben olvashatsz.
  2. Windows 7 x64. 0x80070422 számú hiba. A hiba kijavításához egy egész lábtörlő van a Microsofttól.
    Ő .
    Mivel ez a frissítés a portok működéséhez kapcsolódik, nagyon valószínű, hogy ez a hiba a tűzfal aktiválásával kapcsolatos.
    Hogy mindent megtesz-e, ami ott le van írva, azt te döntöd el. Természetesen a Microsoft nem ad garanciát arra, hogy ezután „minden működni fog”.
Segítenek az antivírusok a Wanna Cry ransomware vírus elleni küzdelemben?

Az Avast víruskereső blogon így írják: Az Avast észleli a WannaCry összes ismert verzióját. Ez a következőképpen fordítható: Az Avast észleli a WannaCry összes ismert verzióját.

Különböző módokon tekintheti meg ezt az állítást. De ha telepítve van az Avast víruskereső, akkor nem lesz nehéz frissítenie az adatbázist és teljesen átvizsgálni a számítógépet [laptop].

Ha nincs vírusirtója, töltse le ingyen, és ellenőrizze számítógépét és laptopját.

Részletes videós utasításokat kaptam az Avast letöltéséhez és telepítéséhez. Videó .

Van-e konkrét garancia a vírus ellen?

Sokan kérdezik: Ha telepítem és engedélyezem az automatikus frissítéseket, átkutatom a gépemet egy vírusirtóval, lényegében mindent megteszek – ez 100%-os garancia lesz a vírus ellen?

Természetesen nem. A való életben nincs általános gyógymód minden betegségre. A virtuális, számítógépes életben sem létezik.

Először is, az összes fent felsorolt ​​intézkedés csak nagy valószínűséggel segít elkerülni a vírus független behatolása Wanna Cry ransomware a számítógépén | laptop.

De előfordulhat, hogy e-mailben mellékletként vírust küldenek Önnek. Ha saját maga futtatja, nagy valószínűséggel megfertőzi a számítógépét. Ugyanígy rákattinthat valami gyanús reklámszalagra, és egy vírust is letölt és elindít.

Végül a vírus fejlesztői módosítják. És a régi szerek már nem segítenek.

Kétségbe kell esnünk? Természetesen nem! Megtette az óvintézkedéseket, és engedélyezte az automatikus frissítéseket a számítógépén | laptop, rendszeresen frissíted a víruskereső programodat és átvizsgálod vele a PC-d?

Nagy! Folytassa a megszokott, aktív számítógépes életet. Csak légy egy kicsit figyelmesebb és óvatosabb, különösen a pornóoldalakon... Csak viccelek! 🙂

Minden rendben lesz!

A cikk létrehozásakor a https://geektimes.ru/ webhelyről származó információkat használtak

Barátai, családtagjai és munkatársai megköszönik az ezen az oldalon közölt információkat. Meg akarják védeni magukat a Wanna Cry ransomware vírus ellen is. Oszd meg velük a cikket az alábbi gombok segítségével.

Hozzászólás navigáció

Wanna Cry ransomware vírus: hogyan védekezhet. Egyszerű utasítások.: 26 hozzászólás

    10.0.10586 verzió
    32-es rendszermappa,
    De nem találom a megfelelő hivatkozást, valószínűleg nem létezik az én rendszeremben!?
    A videó lecke egyértelmű, csak kár, hogy nem tudom használni az ajánlásait.

  1. Helló, Evgeniy. Telepítettem a frissítést és újraindítottam a számítógépet. A parancssor pedig azt válaszolja, hogy nem tudja megnyitni a listát és a gfe-t. Hogyan kell ezt megérteni? Telepítse újra?

    Evgeniy! Megint én vagyok. Most újra próbálkoztam. Jött a helyes válasz, UV. Nagyon köszönjük, hogy segít nekünk. Azonnal tájékoztassa és tanítsa meg védekezni. Tatiana.

  2. Sándor

    Köszönöm a segítséget!

    3. Szia, Evgeniy, megnéztem a videódat, nagyon informatív, de nekem nem sikerült mindent, ahogy mutatod. A képernyőn „A frissítés nem fogadható el ezen a számítógépen” üzenet jelenik meg.

  3. Frolov Alekszej

    Helló, Evgeniy Megnéztem a videódat, úgy tűnt, mindent jól csináltam, de a frissítés nincs telepítve. Nekem Windows 7x64 van. Megjelenik az Offline Update Installer – Frissítések keresése ezen a számítógépen ablak.

  4. Salnikova Tatyana

Jó napot, kedves olvasók és a blog vendégei, mint emlékeztek 2017 májusában a Windows operációs rendszerrel rendelkező számítógépek nagyarányú fertőzési hulláma indult meg a WannaCry nevű új ransomware vírussal, melynek eredményeként sikerült több mint 500 000 számítógép adatait fertőzheti meg és titkosítja, gondoljon csak erre a számra. A legrosszabb az, hogy ezt a vírustípust gyakorlatilag nem fogják el a modern vírusirtó megoldások, ami még fenyegetőbbé teszi az alábbiakban egy módszert, hogyan védheti meg adatait a befolyásától és hogyan védekezhet a ransomware ellen egy perc múlva szerintem érdekesnek fogod találni.

Mi az a ransomware vírus?

A titkosító vírus egy olyan trójai program, amelynek feladata a felhasználó munkaállomásának megfertőzése, a rajta lévő kívánt formátumú fájlok (például fényképek, hangfelvételek, videofájlok) azonosítása, majd a fájltípus megváltoztatásával titkosítása, pl. Ennek eredményeként a felhasználó többé nem tudja megnyitni őket speciális dekódoló program nélkül. Így néz ki.

Titkosított fájlformátumok

A titkosítás után a leggyakoribb fájlformátumok:

  • nincs_több_váltságdíj
  • boltozat

A ransomware vírus következményei

Leírom a leggyakoribb esetet, amikor kódoló vírus érintett. Képzeljünk el egy hétköznapi felhasználót bármilyen absztrakt szervezetben, az esetek 90 százalékában a felhasználó munkahelyén van az internet, hiszen ennek segítségével hasznot hoz a cégnek, szörföl az internetes térben. Az ember nem robot, és elterelheti a figyelmét a munkáról, ha olyan oldalakat néz meg, amelyek érdeklik, vagy olyan oldalakat, amelyeket a barátja ajánlott neki. Ennek a tevékenységnek az eredményeként megfertőzheti számítógépét egy fájltitkosítóval anélkül, hogy tudná, és akkor tud róla, amikor már túl késő. A vírus elvégezte a dolgát.

A vírus működése során megpróbálja feldolgozni az összes fájlt, amelyhez hozzáfér, és innen kezdődik, hogy a részleg mappájában lévő fontos dokumentumok, amelyekhez a felhasználó hozzáfér, hirtelen digitális szemétté, helyi fájlokká és sokkal több. Egyértelmű, hogy a fájlmegosztásokról biztonsági másolatokat kell készíteni, de mi a helyzet a helyi fájlokkal, amelyek az ember teljes munkáját képezhetik, így a cég pénzt veszít az üresjáratért, a rendszergazda pedig elhagyja a komfortzónáját és elkölti fájlok időbeli visszafejtése.

Ugyanez megtörténhet egy hétköznapi emberrel is, de a következmények helyiek, és személyesen őt és a családját érintik. Nagyon szomorú látni az olyan eseteket, amikor egy vírus titkosította az összes fájlt, beleértve a családi fotóarchívumot is, és az embereknek nincs biztonsági másolatuk. , a hétköznapi emberek körében nem gyakori, hogy ezt csinálják.

A felhőszolgáltatásoknál nem ilyen egyszerű minden, ha mindent ott tárolsz és nem használsz vastag klienst a Windows operációs rendszeredben, az egy dolog, hogy ott az esetek 99%-ában semmi sem fenyeget, de ha pl. Yandex lemez vagy "mail Cloud" szinkronizálja a fájlokat a számítógépéről, majd ha megfertőződik, és azt kapja, hogy az összes fájl titkosítva van, akkor a program közvetlenül a felhőbe küldi, és akkor is elveszik.

Ennek eredményeként egy ilyen képet lát, ahol azt mondják, hogy minden fájl titkosítva van, és pénzt kell küldenie, most ez bitcoinban történik, hogy ne azonosítsák a támadókat. Fizetés után állítólag küldenek neked egy dekódolót, és mindent visszaállítasz.

Soha ne küldjön pénzt bűnözőknek

Ne feledje, hogy manapság egyetlen modern vírusirtó sem tud Windows védelmet nyújtani a ransomware ellen, egyetlen egyszerű okból kifolyólag, hogy ez a trójai nem csinál semmi gyanúsat a maga szempontjából, lényegében felhasználóként viselkedik, fájlokat olvas, ír, a vírusokkal ellentétben nem próbálja megváltoztatni a rendszerfájlokat vagy hozzáadni a rendszerleíró kulcsokat, ezért az észlelése olyan nehéz, nincs vonal, amely megkülönbözteti a felhasználótól

A ransomware trójaiak forrásai

Próbáljuk meg kiemelni a titkosító számítógépbe való behatolásának fő forrásait.

  1. E-mail > nagyon gyakran kapnak az emberek furcsa vagy hamis e-maileket linkekkel vagy fertőzött mellékletekkel, amelyekre kattintva az áldozat álmatlan éjszakába kezd. Elmondtam, hogyan védheti meg e-mailjeit, javaslom, hogy olvassa el.
  2. Szoftveren keresztül – ismeretlen forrásból vagy hamis webhelyről töltött le egy programot, amely kódoló vírust tartalmaz, és a szoftver telepítésekor hozzáadja az operációs rendszeréhez.
  3. Flash meghajtókon keresztül - az emberek még mindig nagyon gyakran látogatják egymást, és egy csomó vírust továbbítanak flash meghajtókon keresztül, azt tanácsolom, hogy olvassa el a „Flash meghajtó védelme a vírusoktól” című részt.
  4. IP-kamerákon és internet-hozzáféréssel rendelkező hálózati eszközökön keresztül - nagyon gyakran a helyi hálózathoz csatlakoztatott útválasztó vagy IP-kamera helytelen beállításai miatt a hackerek megfertőzik az ugyanazon a hálózaton lévő számítógépeket.

Hogyan védheti meg számítógépét a zsarolóvírusoktól

A számítógép megfelelő használata megvédi Önt a zsarolóvírusoktól, nevezetesen:

  • Ne nyisson meg olyan leveleket, amelyeket nem ismer, és ne kövessen ismeretlen hivatkozásokat, függetlenül attól, hogy hogyan érnek el, legyen az levél vagy valamelyik hírnök
  • Telepítse a Windows vagy Linux operációs rendszer frissítéseit a lehető leggyorsabban, nem olyan gyakran, körülbelül havonta egyszer. Ha a Microsoftról beszélünk, akkor ez minden hónap második keddje, de a fájltitkosítók esetében is előfordulhat, hogy a frissítések rendellenesek.
  • Ne csatlakoztasson ismeretlen flash meghajtókat a számítógépéhez, és kérje meg barátait, hogy küldjenek nekik linket a felhőre.
  • Győződjön meg arról, hogy ha számítógépének nem kell elérhetőnek lennie a helyi hálózaton más számítógépek számára, akkor kapcsolja ki a hozzáférést.
  • Korlátozza a fájlok és mappák hozzáférési jogait
  • Víruskereső megoldás telepítése
  • Ne telepítsen olyan érthetetlen programokat, amelyeket ismeretlen személy feltört

Az első három ponttal minden világos, de a maradék kettőnél még részletesebben kitérek.

Tiltsa le a számítógép hálózati hozzáférését

Amikor az emberek megkérdezik, hogyan védekezhetek a zsarolóvírusok ellen a Windows rendszerben, először azt javaslom, hogy tiltsák le a „Microsoft Networks File and Printer Sharing Service” szolgáltatást, amely lehetővé teszi, hogy más számítógépek hozzáférjenek a számítógép erőforrásaihoz a Microsoft hálózatokon keresztül. Ez a szolgáltatónál dolgozó kíváncsi rendszergazdák számára is fontos.

Tiltsa le ezt a szolgáltatást és megvédheti magát a zsarolóprogramoktól helyi vagy szolgáltatói hálózatban, az alábbiak szerint. Nyomja meg a WIN+R billentyűkombinációt, és a megnyíló ablakban hajtsa végre, írja be a parancsot ncpa.cpl. Ezt a Windows 10 Creators Update rendszert futtató tesztszámítógépen fogom megjeleníteni.

Válassza ki a kívánt hálózati interfészt, és kattintson rá jobb gombbal, válassza ki a „Tulajdonságok” lehetőséget a helyi menüből

Megtaláljuk a „Fájl- és nyomtatómegosztás Microsoft hálózatokhoz” elemet, és töröljük a jelölést, majd mentsük el, mindez segít megvédeni számítógépét a helyi hálózaton található zsarolóvírustól, a munkaállomás egyszerűen nem lesz elérhető.

A hozzáférési jogok korlátozása

A ransomware vírus elleni védelmet a Windowsban ilyen érdekes módon lehet megvalósítani, elmesélem, hogyan csináltam magamnak. Tehát a titkosítók elleni küzdelem fő problémája az, hogy az antivírusok egyszerűen nem tudnak valós időben felvenni a harcot ellenük, nos, jelenleg nem tudnak megvédeni, ezért ravaszabbak leszünk. Ha a titkosító vírusnak nincs írási joga, akkor nem tud semmit kezdeni az Ön adataival. Mondok egy példát, van egy fotómappám, ez helyben van a számítógépen tárolva, plusz két biztonsági másolat van a különböző merevlemezeken. A helyi számítógépemen írásvédett jogokat hoztam létre ahhoz a fiókhoz, amellyel a számítógépet használom. Ha a vírus bejutott volna, egyszerűen nem lett volna elég joga, mint látható, minden egyszerű.

Hogyan valósítsuk meg mindezt annak érdekében, hogy megvédjük magunkat a fájltitkosítóktól és mindent megvédjünk, a következőket tesszük.

  • Válassza ki a szükséges mappákat. Próbáljon meg mappákat használni, amelyek megkönnyítik a jogok hozzárendelését. Ideális esetben hozzon létre egy csak olvasható mappát, és helyezze el az összes szükséges fájlt és mappát. A jó dolog az, hogy a legfelső mappához rendelve a jogokat, azok automatikusan alkalmazásra kerülnek a többi mappában is. Miután az összes szükséges fájlt és mappát átmásolta, folytassa a következő lépéssel
  • Kattintson a jobb gombbal a mappára a menüben, és válassza a "Tulajdonságok" lehetőséget.

  • Lépjen a "Biztonság" fülre, és kattintson a "Szerkesztés" gombra

  • Megpróbáljuk törölni a hozzáférési csoportokat, ha egy figyelmeztető ablakot kapunk, amely szerint „A csoport nem törölhető, mert az objektum a szülőtől örökli az engedélyeket”, akkor zárjuk be.

  • Kattintson a "Speciális" gombra. A megnyíló elemben kattintson az "öröklés letiltása" gombra.

  • Amikor a „Mit akarsz csinálni a jelenlegi örökölt engedélyekkel” kérdésre, válassza az „Összes örökölt engedély eltávolítása erről az objektumról” lehetőséget.

  • Ennek eredményeként az „Engedélyek” mezőben minden törlődik.

  • Mentse el a változtatásokat. Felhívjuk figyelmét, hogy mostantól csak a mappa tulajdonosa módosíthatja az engedélyeket.

  • Most a "Biztonság" lapon kattintson a "Szerkesztés" gombra.

  • Ezután kattintson a "Hozzáadás - Speciális" gombra

  • Hozzá kell adnunk a "Mindenki" csoportot, ehhez kattintson a "Keresés" gombra, és válassza ki a kívánt csoportot.

  • A Windows ransomware elleni védelméhez be kell állítania az „Everyone” csoporthoz tartozó engedélyeket, ahogy a képen is látható.

  • Mostantól egyetlen titkosító vírus sem fenyegeti Önt az ebben a könyvtárban található fájljai miatt.

Remélem, hogy a Microsoft és más víruskereső megoldások képesek lesznek fejleszteni termékeiket, és megvédeni a számítógépeket a zsarolóvírusoktól, mielőtt bármi rosszindulatú dolgot elkövetnének, de amíg ez nem történik meg, kövesse az általam leírt szabályokat, és mindig készítsen biztonsági másolatot a fontos adatokról.

Ma már talán csak az internettől nagyon távol élő emberek nem tudnak arról, hogy a WannaCry („Sírni akarok”) titkosító trójai program 2017. május 12-én tömegesen megfertőződött a számítógépekkel. A tudók reakcióját pedig 2 ellentétes kategóriába sorolnám: közöny és pánik. Ez mit jelent?

És az a tény, hogy a töredékes információk nem adnak teljes körű megértést a helyzetről, találgatásokra ad okot, és több kérdést hagy maga után, mint választ. Annak érdekében, hogy megértsük, mi történik valójában, kit és mit fenyeget, hogyan lehet megvédeni magát a fertőzésektől, és hogyan lehet visszafejteni a WannaCry által sérült fájlokat, a mai cikk ennek szenteljük.

Tényleg ennyire félelmetes az „ördög”?

Nem értem, mi ez a nagy felhajtásWannaCry? Sok vírus van, folyamatosan újak jelennek meg. Mi a különleges ebben?

A WannaCry (más nevek WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nem egy közönséges számítógépes rosszindulatú program. Ismertségének oka az okozott óriási károk. Az Europol szerint 150 országban több mint 200 000 Windows operációs rendszert futtató számítógép működését zavarta meg, a tulajdonosok által elszenvedett kár pedig több mint 1 000 000 000 dollár volt, és ez csak a forgalmazás első 4 napjában. A legtöbb áldozat Oroszországban és Ukrajnában van.

Tudom, hogy a vírusok felnőtteknek szóló webhelyeken keresztül jutnak be a számítógépekre. Nem látogatok ilyen forrásokat, így nem vagyok veszélyben.

Vírus? nekem is van egy gondom. Amikor vírusok jelennek meg a számítógépemen, elindítom a *** segédprogramot, és fél óra múlva minden rendben van. És ha nem segít, újratelepítem a Windows-t.

A vírus különbözik a vírustól. A WannaCry egy trójai ransomware, egy hálózati féreg, amely emberi beavatkozás nélkül terjedhet a helyi hálózatokon és az interneten keresztül egyik számítógépről a másikra.

A legtöbb rosszindulatú program, beleértve a zsarolóprogramokat is, csak akkor kezd el működni, ha a felhasználó „lenyeli a csalit”, azaz rákattint egy hivatkozásra, megnyit egy fájlt stb. Ahhoz, hogy megfertőződj a WannaCry-vel, semmit sem kell tenned!

Windows rendszerű számítógépre kerülve a kártevő rövid időn belül titkosítja a felhasználói fájlok nagy részét, majd megjelenik egy üzenet, amelyben 300-600 dolláros váltságdíjat követel, amit 3 napon belül át kell utalni a megadott pénztárcára. Késés esetén azzal fenyeget, hogy 7 napon belül lehetetlenné teszi a fájlok visszafejtését.


A kártevő ugyanakkor kiskapukat keres, hogy behatolhasson más számítógépekbe, és ha megtalálja, az egész helyi hálózatot megfertőzi. Ez azt jelenti, hogy a szomszédos gépeken tárolt fájlok biztonsági másolatai is használhatatlanná válnak.

A vírus eltávolítása a számítógépről nem fejti vissza a fájlokat! Az operációs rendszer újratelepítése is. Ellenkezőleg, ha ransomware-rel fertőzött, mindkét művelet megfoszthatja Önt a fájlok helyreállításának lehetőségétől, még akkor is, ha rendelkezik érvényes kulccsal.

Szóval igen, az „átkozott” elég ijesztő.

Hogyan terjed a WannaCry

hazudsz. Vírus csak akkor kerülhet a számítógépemre, ha magam töltöm le. És éber vagyok.

Számos rosszindulatú program képes megfertőzni a számítógépeket (egyébként a mobileszközöket is) sérülékenységeken keresztül – az operációs rendszer összetevőinek és programjainak kódhibái révén, amelyek lehetőséget adnak a kibertámadóknak arra, hogy saját céljaikra használják a távoli gépeket. A WannaCry különösen az SMB protokoll 0 napos sebezhetőségén keresztül terjed (a nulladik napos sebezhetőségek olyan hibák, amelyeket nem javítottak ki a rosszindulatú/kémprogramok általi kihasználásuk idején).

Vagyis egy számítógép zsarolóvírussal való megfertőzéséhez két feltétel elegendő:

  • Csatlakozás olyan hálózathoz, ahol más fertőzött gépek vannak (internet).
  • A fent leírt kiskapu jelenléte a rendszerben.

Egyáltalán honnan jött ez a fertőzés? Ez orosz hackerek munkája?

Egyes jelentések szerint (nem vagyok felelős a hitelességért) az Egyesült Államok Nemzetbiztonsági Ügynöksége volt az első, amely hibát fedezett fel az SMB hálózati protokollban, amelyet a Windows fájlok és nyomtatók legális távoli elérésére használnak. Ahelyett, hogy jelentették volna a Microsoftnak, hogy javíthassák a hibát, az NSA úgy döntött, hogy saját maga használja, és kifejlesztett egy exploitot (a biztonsági rést kihasználó programot).


 A WannaCry disztribúció dinamikájának megjelenítése az intel.malwaretech.com weboldalon

Ezt követően ezt a kizsákmányolást (kódnevén EternalBlue), amely egy ideig az NSA-t arra szolgálta, hogy a tulajdonosok tudta nélkül behatoljon a számítógépekbe, hackerek ellopták, és ez képezte az alapját a WannaCry ransomware létrehozásának. Vagyis az amerikai kormányhivatal nem teljesen legális és etikus lépéseinek köszönhetően a vírusírók tudomást szereztek a sebezhetőségről.

Letiltottam a frissítések telepítésétWindows. Mire van szükség, ha minden működik nélkülük.

A járvány ilyen gyors és széles körű elterjedésének oka az volt, hogy akkoriban hiányzott a „folt” – egy Windows-frissítés, amely bezárhatná a Wanna Cry kiskapuját. Végül is időbe telt a kidolgozása.

Ma már létezik ilyen javítás. A rendszert frissítő felhasználók a kiadás első óráiban automatikusan megkapták azt. És azok, akik úgy vélik, hogy nincs szükség frissítésekre, továbbra is fennáll a fertőzés veszélye.

Kit fenyeget a WannaCry támadás, és hogyan lehet védekezni ellene

Amennyire én tudom, a számítógépek több mint 90%-a fertőzöttWannaCry, üzemeltetőjeWindows 7. Van „tíz”, ami azt jelenti, hogy nem vagyok veszélyben.

Minden operációs rendszer, amely az SMB v1 hálózati protokollt használja, érzékeny a WannaCry fertőzésre. Ez:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v1511
  • Windows 10 v1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Ma olyan rendszerek felhasználói, amelyek nem rendelkeznek a kritikus biztonsági frissítés MS17-010(ingyenesen letölthető a technet.microsoft.com webhelyről, a linkre kattintva). A Windows XP, Windows Server 2003, Windows 8 és más nem támogatott operációs rendszerek javításai letölthetők erről az oldalról: support.microsoft.com. Leírja az életmentő frissítés meglétének ellenőrzésének módjait is.

Ha nem ismeri a számítógép operációs rendszerének verzióját, nyomja meg a Win+R billentyűkombinációt, és futtassa a winver parancsot.


A biztonság fokozása érdekében, és ha most nem lehetséges a rendszer frissítése, a Microsoft utasításokat ad az SMB-protokoll 1-es verziójának ideiglenes letiltásához. Ezek találhatók és. Ezenkívül, de nem feltétlenül, bezárhatja az SMB-t kiszolgáló 445-ös TCP-portot a tűzfalon keresztül.

Nekem van a világ legjobb vírusirtója ***, bármire képes vagyok, és nem félek semmitől.

A WannaCry terjedése nemcsak a fent leírt önjáró módszerrel, hanem a szokásos módon is megtörténhet - közösségi hálózatokon, e-maileken, fertőzött és adathalász webes forrásokon stb. keresztül. És vannak ilyen esetek. Ha manuálisan tölt le és futtat egy rosszindulatú programot, sem a vírusirtó, sem a sebezhetőséget lezáró javítások nem mentik meg a fertőzéstől.

Hogyan működik a vírus, mit titkosít

Igen, hadd titkosítson, amit akar. Van egy programozó barátom, ő mindent megfejt nekem. Legvégső esetben nyers erővel találjuk meg a kulcsot.

Nos, titkosít néhány fájlt, akkor mi van? Ez nem akadályoz meg abban, hogy a számítógépen dolgozzak.

Sajnos nem fog visszafejteni, mivel nincs mód a Wanna Cry által használt RSA-2048 titkosítási algoritmus feltörésére, amely a belátható jövőben nem fog megjelenni. És nem csak néhány fájlt, hanem szinte mindent titkosít.

Nem adok részletes leírást a kártevő működéséről, az elemzését például Matt Suiche Microsoft-szakértő blogján olvashatja el. Csak a legjelentősebb pillanatokat jegyzem meg.

A következő kiterjesztésű fájlok titkosítva vannak: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Amint látható, vannak dokumentumok, fényképek, video-audio, archívumok, levelek és különféle programokban létrehozott fájlok... A kártevő a rendszer minden könyvtárát megpróbálja elérni.

A titkosított objektumok dupla kiterjesztést kapnak WNCRY utóirattal, például "Dokumentum1.doc.WNCRY".


A titkosítás után a vírus minden mappába bemásol egy végrehajtható fájlt @[e-mail védett] – állítólag váltságdíj utáni visszafejtésre, valamint szöveges dokumentumra @[e-mail védett] a felhasználónak szóló üzenettel.

Ezután megpróbálja megsemmisíteni az árnyékmásolatokat és a Windows visszaállítási pontjait. Ha az UAC fut a rendszeren, a felhasználónak meg kell erősítenie ezt a műveletet. Ha elutasítja a kérést, továbbra is van lehetőség az adatok visszaállítására a másolatokból.

A WannaCry az érintett rendszer titkosítási kulcsait továbbítja a Tor hálózaton található parancsközpontokba, majd törli azokat a számítógépről. Más sérülékeny gépek kereséséhez átvizsgálja a helyi hálózatot és tetszőleges IP-tartományokat az interneten, és miután megtalálta, behatol mindenbe, amit elérhet.

Ma az elemzők a WannaCry több, eltérő elosztási mechanizmusú módosításáról tudnak, és a közeljövőben újabbak megjelenésére kell számítanunk.

Mi a teendő, ha a WannaCry már megfertőzte a számítógépét

Látom, hogy a fájlok módosítják a kiterjesztést. Mi történik? Hogyan lehet ezt megállítani?

A titkosítás nem egyszeri folyamat, bár nem tart túl sokáig. Ha sikerült észrevennie, mielőtt a ransomware üzenet megjelent volna a képernyőn, menthet néhány fájlt a számítógép azonnali kikapcsolásával. Nem a rendszer leállításával, hanem úgy, hogy kihúzza a dugót a konnektorból!

Amikor a Windows normál módban indul, a titkosítás folytatódik, ezért fontos megakadályozni. A számítógép következő indításának vagy csökkentett módban kell megtörténnie, amelyben a vírusok nem aktívak, vagy egy másik rendszerindító adathordozóról.

A fájljaim titkosítva vannak! A vírus váltságdíjat követel értük! Mit kell tenni, hogyan kell visszafejteni?

A fájlok visszafejtése a WannaCry után csak akkor lehetséges, ha van egy titkos kulcsa, amelyet a támadók megígérnek, hogy azonnal megadnak, amint az áldozat átutalja a váltságdíj összegét. Az ilyen ígéretek azonban szinte soha nem teljesülnek: miért kell a kártevő-terjesztőknek bajlódniuk, ha már megkapták, amit akartak?

Egyes esetekben a probléma váltságdíj nélkül is megoldható. Eddig 2 WannaCry dekódolót fejlesztettek ki: WannaKey(írta: Adrien Guinet) és WanaKiwi(Benjamin Delpy) Az első csak Windows XP-ben működik, a második pedig az első alapján készült Windows XP, Vista és 7 x86, valamint az északi 2003, 2008 és 2008R2 x86 rendszerekben.

Mindkét dekódoló működési algoritmusa azon alapul, hogy titkos kulcsokat keresnek a titkosító folyamat memóriájában. Ez azt jelenti, hogy csak azoknak van esélyük a visszafejtésre, akiknek nem volt idejük újraindítani a számítógépet. És ha nem telt el túl sok idő a titkosítás óta (a memóriát nem írta felül más folyamat).

Tehát, ha Ön Windows XP-7 x86 felhasználó, a váltságdíj-üzenet megjelenése után először le kell választania számítógépét a helyi hálózatról és az internetről, és futtatnia kell egy másik eszközre letöltött WanaKiwi visszafejtőt. A kulcs eltávolítása előtt ne végezzen más műveletet a számítógépen!

Matt Suiche másik blogjában olvashatsz egy leírást a WanaKiwi decryptor munkájáról.

A fájlok visszafejtése után futtasson egy víruskeresőt a rosszindulatú program eltávolításához, és telepítsen egy javítást, amely lezárja a terjesztési útvonalait.

Ma a WannaCry-t szinte minden vírusirtó felismeri, kivéve azokat, amelyek nincsenek frissítve, így szinte bármelyik megteszi.


Hogyan éljük tovább ezt az életet

Ez az önjáró járvány meglepte a világot. Mindenféle biztonsági szolgálat számára olyan váratlannak bizonyult, mint a tél beköszönte december 1-jén a közüzemi dolgozók számára. Az ok a figyelmetlenség és a véletlenszerűség. A következmények helyrehozhatatlan adatvesztés és károk. A rosszindulatú program készítőit pedig ez ösztönzi, hogy ugyanabban a szellemben folytassák.

Elemzők szerint a WanaCry nagyon jó osztalékot hozott a forgalmazóknak, ami azt jelenti, hogy az ehhez hasonló támadások megismétlődnek. És akit most elhurcolnak, az nem feltétlenül lesz később. Persze, ha nem foglalkozol vele előre.

Tehát, hogy soha ne kelljen sírnia a titkosított fájlok miatt:

  • Ne tagadja meg az operációs rendszer és az alkalmazásfrissítések telepítését. Ez megvédi Önt a nem javított sebezhetőségeken keresztül terjedő fenyegetések 99%-ától.
  • Tartsa rajta.
  • Készítsen biztonsági másolatot a fontos fájlokról, és tárolja őket egy másik fizikai adathordozón, vagy ami még jobb, többen. A vállalati hálózatokban optimális az elosztott adattárolási adatbázisok használata.
  • Válasszon megbízható operációs rendszereket. A Windows XP nem ilyen.
  • Telepítsen egy átfogó Internet Security osztályú vírusirtót és további védelmet a zsarolóvírusok ellen, például a Kaspersky Endpoint Securityt. Vagy más fejlesztők analógjai.
  • Növelje írástudásának szintjét a ransomware trójaiak elleni küzdelemben. Például a víruskereső Dr.Web képzéseket készített különböző rendszerek felhasználóinak és rendszergazdáinak. Sok hasznos és, ami fontos, megbízható információ található más A/V fejlesztők blogjaiban.

És ami a legfontosabb: még ha szenvedett is, ne utaljon pénzt a támadóknak a visszafejtésre. 99% annak a valószínűsége, hogy megtévesztenek. Sőt, ha nem fizet senki, akkor a zsarolási biznisz értelmetlenné válik. Ellenkező esetben az ilyen fertőzés terjedése csak növekedni fog.

A hétvége fő informatikai híre a WannaCry titkosító (Wana Decrypt0r) lett. Elég részletesen olvashatsz róla. Ez a megjegyzés csak a telepítendő Windows-frissítésekről és a szükséges észlelési intézkedésekről tartalmaz információkat.

Tehát a sebezhetőséget megszüntető Windows-frissítések listája az operációs rendszer verziójától függően, valamint hivatkozások:

Windows 10 1511-es verzió— KB4013198 (letöltés)

Windows 10 1607-es verzió és Windows Server 2016— KB4013429 (letöltés)

Windows 8.1 és Windows Server 2012 R2— KB4012213 (letöltés) vagy KB4012216 (letöltés)

Az első javítás csak a biztonsági frissítések gyűjteménye, a második a havi javítások teljes csomagja. A WannaCry által kihasznált sebezhetőség ezek bármelyikét lefedi. Ugyanez vonatkozik az operációs rendszer más verzióira is, ahol két javítást jeleznek.

Windows Embedded 8 Standard és Windows Server 2012— KB4012214 (letöltés) vagy KB4012217 (letöltés)

Windows 7, Windows Embedded 7 Standard és Windows Server 2008 R2— KB4012212 (letöltés) vagy KB4012215 (letöltés)

Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 és POSReady 2009— KB4012598 (letöltés)

Amint látható, a Microsoft javításokat is biztosított a már nem támogatott régi rendszerekhez.

Az antivírusok már észlelik a Wana Decrypt0r-t, de a fájlok visszafejtésének kilátásaira vonatkozó előrejelzés továbbra is kiábrándító. Idézet a Kaspersky Lab hivatalos webhelyéről:

Ha fájljai titkosítottak, semmiképpen ne használjon az interneten kínált vagy e-mailben kapott visszafejtő eszközöket. A fájlok titkosítása erős titkosítási algoritmussal történik, és nem lehet visszafejteni, a letöltött segédprogramok pedig még nagyobb károkat okozhatnak mind az Ön számítógépében, mind a szervezeten belüli számítógépeiben, mivel potenciálisan rosszindulatúak, és a járvány új hullámát célozzák.

Valószínűleg a fertőzések csúcsa már mögöttünk van, bár a jövőben valószínűleg megjelenik még egy-két módosított ransomware. Ezek azonban már nem lesznek olyan hírek, mint a WannaCry.

Május 12-től világszerte. Ez a zsarolóprogram behatol a számítógép operációs rendszereibe, amikor fájlt tölt le az internetről. Amikor egy számítógép ilyen vírust kap, a WannaCry különféle fájlokat titkosít - fényképeket, zenéket, filmeket, szöveges dokumentumokat, prezentációkat, archiválókat stb. A támadók 300 dollárt kicsikarnak a visszafejtésért. Hogyan küzdjünk a zsarolóvírus ellen?

Michael Stern, CC BY-SA 2.0, eredeti rész.

A Kaspersky Lab szerint azok a számítógépek voltak a legsebezhetőbbek a támadásokkal szemben, amelyekre nem voltak telepítve szoftverfrissítések, és kalózszoftvert tartalmaztak.

1 Hogyan működik a Wanna Cry vírus?

A WannaCry egy WanaCrypt0r 2.0 nevű program, amely kizárólag a Windows operációs rendszert futtató számítógépeket támadja meg. A program egy „lyukat” használ ki a rendszerben - a Microsoft Security Bulletin MS17-010, amelynek létezése korábban ismeretlen volt.

2 Hogyan terjed a WannaCry vírus?

A WannaCry vírus e-mailben terjed. A spam e-mail mellékletének megnyitása után elindul a titkosító, és a titkosított fájlokat szinte lehetetlen helyreállítani.

3 Mire kell figyelni, hogy ne fertőzze meg számítógépét a WannaCry vírus?

Nagyon figyeljen arra, hogy mit küldenek Önnek e-mailben. Ne nyissa meg a következő kiterjesztésű fájlokat: .exe, .vbsÉs .scr. A csalók több kiterjesztéssel is álcázhatnak egy rosszindulatú fájlt videónak, fényképnek vagy dokumentumnak (például avi.exe vagy doc.scr), írja a ru24.top.

Ilja Sachkov, a kiberbűnözés megelőzésével és kivizsgálásával foglalkozó cég vezérigazgatója, a Group-IB azt tanácsolja: "A WannaCry esetében a probléma megoldása az lehet, hogy blokkolják a tűzfal 445-ös portját, amelyen keresztül a fertőzés történik." A potenciálisan rosszindulatú fájlok észleléséhez engedélyeznie kell a „Fájlkiterjesztések megjelenítése” opciót a Windows beállításaiban.

4 Mit tett a Microsoft, hogy megvédje a Windowst a WannaCry vírustól?

A Microsoft már kiadott egy javítást – csak futtassa a Windows Update legújabb verzióját. Érdemes megjegyezni, hogy csak azok a felhasználók tudják megvédeni számítógépüket és adataikat, akik megvásárolták a Windows licencelt verzióját – ha kalóz verziót próbálnak frissíteni, a rendszer egyszerűen nem megy át a teszten. Emlékeztetni kell arra is, hogy a Windows XP már nem frissül, ahogy természetesen a korábbi verziók sem – írja a Rorki.ru.

5 A WannaCry vírus elleni védekezés legegyszerűbb módjai

Ahhoz, hogy elkerülje a WannaCry vírus elkapását a számítógépén, be kell tartania néhány egyszerű biztonsági szabályt:

  • frissítse a rendszert időben - az összes fertőzött számítógépet nem frissítették,
  • licencelt operációs rendszert használ,
  • ne nyissa meg a gyanús e-maileket,
  • ne kattintson a megbízhatatlan felhasználók által hagyott kétes hivatkozásokra.

6 Mi a teendő, ha elkapta a WannaCry vírust a számítógépén?

Ha azt gyanítja, hogy számítógépe megfertőződött a WannaCry vírussal, akkor le kell választani a készüléket az internetről vagy a Wi-Fi-ről – ez megakadályozza a vírus terjedését – tanácsolja a Group-IB. Szakértői ajánlások: soha ne fizessen váltságdíjat a csalóknak, mivel nincs garancia arra, hogy a támadók elküldik a visszafejtő kulcsot,



Oszd meg barátaiddal:
Kapcsolódó kiadványok