Материалы

 

WannaCrypt

 

На днях вирус-вымогатель под названием WannaCrypt (или WCry) атаковал ряд компаний, учреждений и медицинских организаций во многих странах мира. После заражения вирус шифрует файлы на накопителе и требует выкуп в сумме $300 в биткоинах. После получения выкупа злоумышленники обещают расшифровать файлы.

 

Пострадавшие компании отмечают, что заражение вирусом WannaCrypt произошло через электронную почту. Рассмотрим же, как можно обезопасить себя от заражения этим вирусом и что делать, если уберечься всё же не удалось.

 

Отметим, вирус WannaCrypt использует уязвимость в операционной системе Windows, которую корпорация Microsoft устранила в новой версии операционной системы (очевидно, речь идёт о Windows 10).

«Наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети», — заявили в Microsoft.

Пользователи антивируса Windows Defender защищены от вируса WannaCrypt, потому что на него обновления приходят автоматически. Те, у кого активирована функция Windows Update, получили обновлённую защиту в марте 2017 года.

 

Потому в качестве первого совета по обеспечению защиты от WannaCrypt можно назвать активацию Windows Update и установку всех обновлений для операционной системы. Также можно отдельно скачать патч MS17-010 с сайта Microsoft, который закроет уязвимость. После установки следует перезагрузить компьютер. Также для обеспечения защиты от вируса-вымогателя, Microsoft выпустила обновления и для старых систем, поддержка которых уже завершена, включая Windows XP, Windows 8 и Windows Server 2003. Загрузить обновление для нужной ОС можно с сайта Microsoft.

 

Учитывая, что заражение осуществляется через электронную почту, нельзя открывать вложения в сообщениях, полученные от незнакомых отправителей. Особенно, если вложение имеет расширение .exe или .js. Также не следует устанавливать на компьютер программное обеспечение, полученное из непроверенных источников.

 

Как действовать, если вас атаковали?

 

Если вы уже были атакованы – не спешите платить злоумышленникам деньги. Ведь нет никакой гарантии, что они выполнят условия разблокирования компьютера, а не продолжат тянуть из вас деньги.

 

Лучше всего, советуют программисты, провести глубокую очистку с помощью антивируса и попробовать удалить вредоносную программу (конечно, если вы не специалист, то обратитесь к специалисту).

 

Если же обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению вируса WannaCrypt:

    1. Нужно перезагрузить компьютер в безопасном режиме с загрузкой сетевых драйверов.
    2. Для удаления вируса из системы самостоятельно, можно воспользоваться следующей инструкцией. Или же можно обратиться к помощи антивирусных программам вроде SpyHunter Anti-Malware ToolMalwarebytes Anti-malware или STOPZilla.
    3. Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления WannaCrypt. В противном случае можно нанести ущерб системным файлам и реестрам. Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery.

 

Однако нужно отметить, что эти способы не гарантируют полного восстановления файлов. Так же, можно воспользоваться собетами от экспертов CERT-UA.

 

Эксперты CERT-UA (структурного подразделения Государственного центра киберзащиты и противодействия киберугрозам) советуют:

 

1. Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, которые побуждают к переходу на подозрительные ссылки или к открытию подозрительных файлов – архивов, исполняемых файлов и т.д.).

 

2. Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.

 

3. Установить официальный патч MS17-010.

 

4. Ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.

 

5. Обратиться к рекомендациям CERT-UA касаемо безопасности почтовых сервисов.

 

6. Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.

 

 

Пусть вас обходят вирусы и злобные программисты!

 

 

 

Источник: tjournal и Канал24