Как обезопасить себя от вируса-вымогателя WannaCrypt и что делать, если заражение уже произошло

Вчера вирус-вымогатель под названием WannaCrypt (или WCry) атаковал ряд компаний, учреждений и медицинских организаций во многих странах мира. После заражения вирус шифрует файлы на накопителе и требует выкуп в сумме $300 в биткоинах. После получения выкупа злоумышленники обещают расшифровать файлы.

Пострадавшие компании отмечают, что заражение вирусом WannaCrypt произошло через электронную почту. Рассмотрим же, как можно обезопасить себя от заражения этим вирусом и что делать, если уберечься всё же не удалось.

Отметим, вирус WannaCrypt использует уязвимость в операционной системе Windows, которую корпорация Microsoft устранила в новой версии операционной системы (очевидно, речь идёт о Windows 10).

«Наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети», — заявили в Microsoft.

Пользователи антивируса Windows Defender защищены от вируса WannaCrypt, потому что на него обновления приходят автоматически. Те, у кого активирована функция Windows Update, получили обновлённую защиту в марте 2017 года.

Потому в качестве первого совета по обеспечению защиты от WannaCrypt можно назвать активацию Windows Update и установку всех обновлений для операционной системы. Также можно отдельно скачать патч MS17-010 с сайта Microsoft, который закроет уязвимость. После установки следует перезагрузить компьютер. Также для обеспечения защиты от вируса-вымогателя, Microsoft выпустила обновления и для старых систем, поддержка которых уже завершена, включая Windows XP, Windows 8 и Windows Server 2003. Загрузить обновление для нужной ОС можно с сайта Microsoft.

Учитывая, что заражение осуществляется через электронную почту, нельзя открывать вложения в сообщениях, полученные от незнакомых отправителей. Особенно, если вложение имеет расширение .exe или .js. Также не следует устанавливать на компьютер программное обеспечение, полученное из непроверенных источников.

Если же обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению вируса WannaCrypt:

  1. Нужно перезагрузить компьютер в безопасном режиме с загрузкой сетевых драйверов.
  2. Для удаления вируса из системы самостоятельно, можно воспользоваться следующей инструкцией. Или же можно обратиться к помощи антивирусных программам вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
  3. Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления WannaCrypt. В противном случае можно нанести ущерб системным файлам и реестрам. Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery.

Однако нужно отметить, что эти способы не гарантируют полного восстановления файлов.

Нравится34
Комментарии (73)
  • 5
    Знатоки можно файлы зашифрованные в xtbl расшифровать?
  • 32
    Потому в качестве первого совета по обеспечению защиты от WannaCrypt можно назвать активацию Windows Update и установку всех обновлений для операционной системы.

    Что-то у меня подозрения...
  • 46
    Неплохая реклама 10 винды и виндовс дефендер
  • 8
    Бомбардировщик
    Но слишком жестокая.
  • 3
    Пришлось обновить 7, написано было что последний раз обновлялся 10,07,2015
  • 15
    Бомбардировщик
    "Также для обеспечения защиты от вируса-вымогателя, Microsoft выпустила обновления и для старых систем, поддержка которых уже завершена, включая Windows XP, Windows 8 и Windows Server 2003."
  • 0
    Tellery Spyro-Cynder Mix
    чем жёстче, тем лучше она работает
  • 2
    Eynar
    конечно выпустила, но после того как у людей волосы на задницах поседели.Тоже реклама.
  • 16
    Не стал читать, если есть какая то проблема, то переустанови винду и не терзай мозги, ах, да, данные же все потеряешь!, лично я не храню важные данные на компе, а на флешках и внешних жестких дисках.
  • 20
    Ivan Dro
    Для тебя, возможно - это выход. А вот для крупных компаний - это целая революция.
  • 6
    Ivan Dro
    переустановка не поможет
  • 11
    Ну вот почитал щас, получается Kaspersky или, чем они там пользуются не защитил их?, так это получается и не проблема компаний которые пострадали от этого вируса, а проблемы компаний которые создают антивирусы и анально заставляют устанавливать их всяким организациям.
  • 13
    Некогда не понимал как через почту можно вирусами заражаться. Ладно по ссылке переходить, но читал о случаях просто открытия письма.
  • 9
    Типа вы все равно будите устанавливать наши обновление и юзать наш встроенный в винду антивир, (хотя бы потому что бесплатные антивиры у вас не встанут, т.к. будут считать что антивир у вас уже установлен) иначе мы стрясем с вас 300 баксов. Эээ то есть не мы а типа какие то злоумышленники.
  • 10
    Eynar написал:
    "Также для обеспечения защиты от вируса-вымогателя, Microsoft выпустила обновления и для старых систем, поддержка которых уже завершена, включая Windows XP, Windows 8 и Windows Server 2003."

    Абсолютнейшая ложь. Обновление для закрытия эксплоита EternalBlue вышло для Windows Vista и выше. И вирус-вымогатель тут совершенно ни при чём. Патч был для эксплоита EternalBlue. Прекрати выдумывать.

    можно использовать декрипторы

    Какие? Не скажешь? Так хренли польза с твоего блога?
  • 7
    rambling
    А WannaCry как раз и использует ту дыру, которую использовал EternalBlue.
    И это не я выдумаю, я привел цитату из блога, который ты только что читал. Или не читал?

    А патч для XP x32, x64, XP Embedded, Server 2003 и прочих нужно искать отдельно. Для них обновление называется KB4012598.
  • 2
    Eynar написал:
    А WannaCry как раз и использует ту дыру

    Так писать-то надо о дыре, а не о вирусе, которых в следующие месяцы через неё приплывёт ещё 100500. Или бложик по каждому пилить? Бонусы жи!!1
  • 3
    идея такого вирусца вроде как то не нова. с нечто подобным я уже сталкивался
  • 1
    Спутник и амиго дают о себе знать.
  • 2
    Ребят, а как завести Биткоинты? :)
  • 12
    rambling
    Для актуальных систем дыру залатали в марте. На ОСях без обновлений и поддержки массово началась эпидемия вот буквально на днях. Майки выпустили патч для не поддерживаемых версий ОС и в очередной раз напомнили, для чего нужны обновления.
    Что тебя тут смущает?
  • 4
    обновляйте почаще дефендер на 10-ке
  • 4
    MunchkiN 616 написал:
    идея такого вирусца вроде как то не нова. с нечто подобным я уже сталкивался

    Извини, я наверное непонятно написал. Речь не о вирусе. Не о вирусе. Не о вирусе. Не о вирусе. Не о вирусе. Не о вирусе. Не о вирусе. Не о вирусе. А о дыре, через которую они все ползут. С восьмого раза, я надеюсь, понятно?

    Fildon
    Ты совершенно прав. "обновляйте почаще дефендер на 10-ке". Только вот самый последний вирус ползёт как раз через Windows Defender. Упс?
  • 0
    РикоЧико
    Чаще всего открывают вирус, замаскированный под документ и заражаются.
  • 1
    MunchkiN 616
    Да, были похожие и раньше, SMS-баннеры называются. Правда они вроде как данные не шифруют, но вообще ХЗ. Однажды знакомому эту хрень убирал с помощью загрузочной флешки, на которой есть утилита против этих баннеров.
  • 5
    Ещё со времён эпидемии конфикера имею привычку отключать "службу доступа к файлам и принтерам сетей microsoft"



  • 0
    Что характерно, больше всего зараженных машин в россии. Ну оно и не удивительно, тут 90% сидят на системах без актуальных апдейтов.
  • 3
    а переустановка винды не спасет ?
  • 1
    TheReds1892 написал:
    а переустановка винды не спасет ?

    Зависит от того, как заразился. Скорее всего нет.
  • 0
    TheReds1892
    Пишут, что нет:
  • 0
    Eynar
    нет, вирус занимался примерно тем что шифровал файлы пользователей видны и после него они превращались в решето. в то время как где нибудь на диске Ё ничего не портилось.
    ну и да, были смс банеры блокирующие виндувс
  • 2
    rambling
    Без резинки и заразился)))
  • 2
    rambling
    Тоесть если включен брандмауэр windows, то вирусняк не проскочит?
  • 1
    Про ВИРУС, распространение и история:
    Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
    Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
    В то время как набор эксплоитов уже неделю лежит в открытом доступе github.com/fuzzbunch/fuzzbunch с обучающими видео.
    В этом наборе есть опасный инструмент DoublePulsar.
    Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
    простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

    Как это работает?

    >Скрипт сканнера запускается на Linux сервере
    >Вбивается определенный IP диапазон или целая страна
    >Скрипт сканирует диапазон на открытый 445 порт
    >В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
    >эксплойт закачивает файл и запускает его.
  • 4
    хакеры тупо свистнули дыру запланированную для АНБ (или кто-то ее специально слил)
    после того как дыра засветилась, Майки ее прикрыли
    заработать у кулхацкеров вряд ли получится, но шумнули сильно
  • 2
    Tovv написал:
    Тоесть если включен брандмауэр windows, то вирусняк не проскочит?

    Если блокировать порт 445, скорее всего нет. Но если уже проскочил, надо бы форматнуть, т.к. неизвестно что проскочило.
  • 1
    что тут сказать GG
  • 5
    Проверяйте:

    Наличие вируса подтверждается наличием следующих ключей в реестре:
    HKCU\Software\Microsoft\Windows\Current Version\Run\[random] "[Installed_Folder]\tasksche.exe"
    HKCU\Software\WanaCrypt0r\
    HKCU\Software \WanaCrypt0r\wd [Installed_Folder]
    HKCU \Control Panel\ Desktop \ Wallpaper "[Installed_Folder] \Desktop\@WanaDecryptor@. bmp"
  • 1
    FallenGhost
    Скорее всего опять цепляли. Не исключено, что тем же способом.
    Если форматнуть диск с ОС, там ничего не выживает как правило. Тем более какие либо банеры. Данные конечно будут потеряны, но это все же не лечение, а скорее ампутация.
  • 4
    Да пофиг. "СКАЧАТЬ БЕСПЛАТНО" не жму, почта ток для стима и прочих подобных сервисов, да и винда 7-я
    Лучший способ обезопасить себя от вируса-вымогателя -- прямые руки)
  • 2
    Redkin_Stanislav
    Не совсем.
    К примеру данная зараза стучится на порт 445 и если он открыт, твои прямые руки тебя не спасут. А вот мозг, который позволит тебе закрыть порт, поставить патч и проверить реестр дадут тебе шанс. И фишка - "А меня пронесет" не прокатит.
    Много я повидал людей, которые "избранные", а потом бегают и пылают.
  • 0
    уже остановили вирусняк
    Программист @MalvareTechBlog вместе с коллегой Дарианом Хассом случайно остановили распространение по всему миру вируса-вымогателя WannaCry, пишет Guardian. Они зарегистрировали домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, по которому обращался вирус.
    Программисты хотели с помощью этого проследить активность вируса, но оказалось, что адрес был зашит в его коде на тот случай, если его потребуется остановить. «Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку», — написал программист в Twitter.
    Отмечается, что атака приостановлена временно и может возобновиться, как только хакеры изменят адрес в вирусе.
    О вирусной атаке на компьютеры по всему миру стало известно вечером 12 мая. Устройства оказались заражены программой, которая блокирует их и требует с пользователей $300 (£230) в биткоинах за разблокировку.
  • 0
    Arileon
    Вообще-то данная зараза была обнаружена еще в марте. И толку? Сейчас по всему миру дырявые системы в панике.
    Рядового пользователя может и не зацепит сильно, а вот в компаниях будут проблемы.
    При этом вируснячок явно не будет стоять на месте, человек или группа лиц его написавших, могут легко его модифицировать.
  • 0
    Sub_Zero95
    Это не остановили, а отсрочили. Поменять строчку в коде не большая проблема.
  • 3
    Для удаления вируса из системы самостоятельно, можно воспользоваться следующей инструкцией

    И? Где инструкция?
    Хотя бы проверяли, что вы сюда копипастите.
  • 1
    BeTePaH[1945]
    Ну, такое no stop происходит. Просто не всегда это заметно и в таких масштабах.
    Не просто же так обновы регулярно выходят.
  • 7
    атаковал ряд компаний, учреждений и медицинских организаций

    Дальше читать нечего
  • 1
    Дней 10 назад словил майнера. Отписал сразу KAV&DrWeb - до сих пор ими не детектится - большинства остальными уже. Лишний раз убеждаюсь, что антивирус, как икона - верующему лучше иметь, но от проблем не спасет.
  • 1
    Ничего надёжного нет в этом дурацком мире.
  • 4
    FallenGhost
    То есть если отформатировать винт и поставить винду заново, то вирус не удалится? Ты сам то в этот бред веришь? Где он живёт? Под компьютерным столом? Ох уж эти журналисты, как напишут какой-нибудь бред о "всемогущем вирусе". Я даже уверен, что большинство чудиков, которые подхватили этот вирь, были заражены не через эксплойт Винды, а через свою тупость - открывая вложения в письмах, вроде "Смотри какие классные сиськи".
  • 0
    Потому в качестве первого совета по обеспечению защиты от WannaCrypt можно назвать активацию Windows Update и установку всех обновлений для операционной системы.

    Мне кажется, или в виндоус сами написали этот вирус?



  • 6
    Надо было ставить LINUX !
  • 5
    Burglar2k написал:
    То есть если отформатировать винт и поставить винду заново, то вирус не удалится? Ты сам то в этот бред веришь? Где он живёт? Под компьютерным столом?

    ты слишком ламер, если больше не знаешь мест
  • 0
    MW RACER
    Линукс не панацея. На нем своих уязвимостей предостаточно, а судя по тому, что не весь софт работает на данной системе. Эта система так и будет в списке "рекомендовано, но не всем".
  • 1
    На электрическом стуле надо всех этих хакеров и тех кто выкладывает в открытый доступ подобные проги поджаривать до хрустящей корочки!
  • 2
    hom1e
    Так ты бы сказал, о великий хакер-школьник, научившийся регистрироваться на сайте в прошлом году. Или хакеры своих секретов не выдают? Ну давай, я хоть поржу. Вот только умничать типа "живёт на сетевых компьютерах и после переустановки Винды атакует комп вновь и вновь заражает" не надо, ибо это не в счёт.
  • 1
    Burglar2k
    А как же озу, загрузочные сектора, аппаратные бэкдоры?
  • 3
    У меня вопрос к знатокам. Вот допустим щас все закроют порт 445, а что мешает написать вирус, который стучится в любой другой порт? Их же тысячи.
  • 2
    Хех



    Спойлер
  • 1
    nikita2112, уязвимость связана с протоколом SMB, который в винде работает именно через этот порт.
    Ну а дыры будут всегда, пока софт пишут люди.

    Кстати далеко не всем стоит бояться данной бяки, у многих провайдеров интернета пользователям не дают внешний ip, и они сидят в общей NAT-подсети. То есть доступ извне к ним невозможен в принципе (для пользователя это выглядит так, что все порты закрыты). Хотя с точки зрения юзабилити это минус, например при игре по сети быть сервером\хостом соответственно не получится. Но зато 100% безопасность от вторжений.
  • 1
    Hanabishi
    Чёт не совсем понял. У меня динамический айпи, но например в торренте DHT горит зелёным. В описании сказано, зелёный - значит доступны входящие подключения. Или я что-то не так понял?
  • 1
    hom1e
    Это вроде как не руткит, а просто шифратор которые вымогает деньги, который появляется из-за изьяна в портах 445 судя по инфе которую я читал. Именно по этому наверное люди которые удаляли винду, и ставили её снова получали заражение. Открыты порты, или открыт один порт, то ставишь винду - включаешь интернет - вирус тут как тут.
  • 1
    Амиминору
    Ну ОЗУ таки очистится после перезагрузки. Ты же будешь устанавливать Винду с диска/флэшки и после перезагрузки? Бэкдоры, как я уже сказал, не в счёт, ибо это по сути повторное заражение. А вот на счёт загрузочного сектора ты прав, хотя здесь опять же зависит от того, КАК ты будешь производить форматирование. Если простым удалением, то вирус не тронешь, если низкоуровневым, то снесешь и загрузочный сектор, вместе с вирем.
  • 1
    nikita2112
    У определенных протоколов есть фиксированные порты, у smb - 445. И просто так атаковать любой другой порт не получится, т.к они могут быть закрыты или там будет находиться программа или игра которая просто не поймет что от нее хотят и уничтожит этот пакет
  • 1
    Амиминору написал:
    А как же озу...

    У тебя ОЗУ энергозависимая, или всегда выключаешь комп под гибернацию ?
    Как могут сохраниться данные в памяти, в которой после выключения (и отсутствия электропитания) пропадают все данные ?
  • 2
    Ivan Dro
    полностью согласен вообще не парюсь на счет вирусов переустановка занимает пару часов всего то надо хранить данные на отдельных носителях ну или в облаке .антивирусом вообще не пользуюсь удален!
  • 1
    Guzl
    Так же антивирусом не пользуюсь уже много лет, только зря нагружает систему.
  • 1
    А как скачать заплатку с сайта мелкомягких? я чёт совсем не понял
  • 0
    nikita2112
    Тут главный вопрос - внутренний он или внешний. То есть находишься ты за NAT или напрямую в сети. Если оператор мобильный, то почти со 100% вероятностью NAT.
    Самый простой способ - проверь несколько рандомных портов (включая 445) на 2ip.ru. Если все закрыто, значит за NAT сидишь.
  • 1
    BeTePaH[1945]
    Это шутка была естественно . Есть у него и плюсы и минусы конечно .
  • 0


  • 1
    Mabel Pines
    Кажется
  • 1
    ща бы по эмейлу заразится вирусом :D по моему ничего страшного в этой программе нет ) написал дурачок какой-то , дело в том что было куча страшных вирусов которые действительно наносили вред - а от этого может избавится так скажем ''программист'' любой из этих организаций ( которые оказались ''падотакой'') из за чего такой шум ? типо 70% пользователей снг сидят на вин7 и не хотят баганную забаганную 10 + очень плохо оптимизированную даже не под игры - а под программы которые используются в странах снг - для работы ? и таким способом пытаются её продать ? смешно кароче .
B
i
u
Спойлер