Как защитить себя от вредоносного ПО: Wannacry

По сети Интернет гуляет много вирусов и опасных программ. Никогда не знаешь, где можно их подхватить и перенести на свой компьютер. Много шума в последние годы наделала вредоносная программа Wannacry, о которой мы подробно поговорим в этой статье и расскажем, как защититься от вируса шифровальщика. Если вы заразили компьютер вирусом, не стоит паниковать, ибо рискуете еще больше усугубить ситуацию. Когда мы имеем дело с Wannacry, важно быть предельно осторожным и делать все по порядку – только правильная wannacry-защита убережет от необратимых последствий.

Как защититься от WannaCry

Wannacry – что это за вирус?

С английского языка название вируса дословно переводится как «хочется плакать». Известны и другие варианты названия этой «пакости» – WannaCrypt, WCry, WanaCrypt0r, Wanna Decryptor.

Итак, это вредоносная компьютерная программа, или лучше назвать ее сетевым червем. Ориентирована на вымогательство денег, поражает только компьютеры с операционной системой Microsoft Windows, поэтому нужна от вируса wanna cry-защита.

Когда устройство заражается данным вирусом, код начинает шифровать все хранящиеся на нем пользовательские файлы и далее выдает сообщение о требовании заплатить выкуп в криптовалюте. Если в течение 7 дней с момента заражения пользователь не платит деньги, он никогда не сможет расшифровать свои файлы.

Мир узнал о WannaCry в мае 2017 года, когда первыми атакованными компьютерами оказались устройства на территории Испании, далее уже пошло массовое распространение по другим странам, в том числе путем онлайн атак через фишинговых действий. Наибольшее количество зараженных ПК оказалось на территории Индии, Украины и России.

Суммарно вирус проник в 500 тысяч компьютерных устройств, которые принадлежали не только частным пользователям, но и предприятиям, компаниям, даже государственным организациям в 200 странах нашей планеты.

Из-за этого вируса была заблокирована деятельность множества компаний и учреждений общего пользования – речь идет о больницах, банках, заводах, аэропортах. Например, в госпиталях Великобритании отложили запланированные медицинские процедуры и срочные операции.

Известно, что вредоносная программа wannacry была разработана неизвестными хакерами на основе украденных данных у АНБ США. Главный подозреваемый – это хакерская группировка Lazarus Group, которая может имеет отношение к правительству КНДР.

Принцип действия вирусного червя таков, что он сканирует Интернет-узлы и ищет компьютеры с открытым TCP-портом 445, отвечающим за обслуживание протокола SMBv1. Когда такое устройство найдено, WannaCry пытается проэксплуатировать на нем уязвимость EternalBlue. Если действие проходит успешно, тогда устанавливается бэкдор DoublePulsar – именно через него идет загрузка исполняемого кода программы.

Далее червь превращается в наглого вымогателя, поскольку для каждого инфицированного компьютера генерирует пару ключей асимметричного алгоритма RSA-2048.

Далее вирусом сканируется система, чтобы найти пользовательские файлы конкретного типа и зашифровать их по алгоритму AES-128-CBC. Процесс шифрования происходит по принципу матрешки – шифруется каждый внутренний элемент.

По завершении шифрования на экране ПК пользователя появляется окно с сообщением, чтобы владелец перевел определенную сумму в биткоинах на кошелек злоумышленников. Срок выкупа – 3 дня. Через три дня сумма выкупа удвоится. Через 7 дней, если человек не заплатит, он никогда не сможет расшифровать свои файлы.

Вредоносная программа поддерживает 28 языков и выдает сообщение на том, который установлен на персональном устройстве.

Причина возникновения и стремительного распространения wannacry обусловлена тем, что зимой 2017 года была опубликована уязвимость сетевого протокола SMB в MS Windows. Разработчик подтвердил, что во всех продуктах от Windows XP до Windows 10 была идентифицирована данная уязвимость.

Весной этого же года вышло обновление ms17-010 windows 7, чтобы нейтрализовать угрозу – это была первая wannacry-защита.

Как защититься от вируса-шифровальщика Wannacry

Чтобы никогда не сталкиваться со зловредным вирусом и точно быть уверенным в безопасности работы своей компьютерной техники, выполните следующие действия по wannacry-защите:

Убедитесь, что у вас стоит последнее обновление операционной системы, и все инсталляции обновлений должны происходить автоматически. Конечно, это не дает 100-процентную гарантию защиты от вируса, но зато он точно не попадет к вам из Интернета или локальных ПК. Лучше всего устанавливать обновление безопасности ms17-010, с помощью которого исправляется ошибка в протоколе SMB.

Закройте все уязвимости и настройте Центр обновлений на автоматическую работу:

  • для Windows Vista и Windows 7 зайти в Пуск – Панель управления – Центр управления – убедиться, что есть запись «Windows не требуется обновление», «Вы настроили автоматическую установку обновлений» или «Важные обновления отсутствуют»:

  • для Windows 8 и Windows 8.1 зайти в Пуск – Центр обновления – аналогично вышеописанному по 7-ой версии;
  • для Windows 10 зайти в Пуск – Параметры – Обновление и безопасность.

  • Если вы пользуетесь устаревшей операционкой, например, Windows XP или Windows Server 2003, тогда переходите по этой ссылке https://msrc-blog.microsoft.com/2017/05/12/customer-guidance-for-wannacrypt-attacks/ и найдите патч MS17-010. Если Центр обновлений не работает, нажимайте на Настройку параметров и включайте автоматическое скачивание/установку/запуск средства устранения неполадок. Подробно описано здесь https://support.microsoft.com/ru-ru/help/971058/how-do-i-reset-windows-update-components.
  • Если вы пользуетесь нелицензионной Windows и устанавливаете обновление, есть угроза появления синего экрана смерти при последующем включении компьютера. Здесь нужно быть осторожным.

Убедитесь, что все локальные ПК вашей сети оснащены следующими опциями:

  • работает антивирус со свежей базой;
  • обновления происходят вовремя (установлено ms17-010);
  • браузеры последних версий.

Как удалить Wannacry

Удалить вирус wannacry можно таким образом:

  1. скачать утилиту RKill и запустить ее;
  2. дать программе завершить все выявленные опасные процессы;
  3. остановить/предотвратить любые события, которые провоцируют перезагрузку компьютера (если этого не сделать, то вредоносные процедуры перезапустятся вместе с перезапуском системы);
  4. загрузить антивирусную программу Avira, установить и не выполнять команду «обновить Windows»;
  5. запустить полную проверку системы, ждать результаты;
  6. все вирусы, которые найдет программа, переместить в карантин;
  7. загрузить утилиту Malwarebytes Anti-Malware, запретить wannacry обновление windows 7, внести изменения в настройки, включить проверку руткитов;
  8. выполнить полную проверку операционной системы;
  9. найденные подозрительные объекты переместить в карантин.

 

Это описан один из вариантов применения утилиты для wannacry-защиты, хотя есть еще один способ – использовать wannacry-дешифратор. Он подходит для действующих и устаревших версий ОС Виндовс.

Принцип работы таков, что он ищет простые числа ключа шифрования, которые сохраняются в компьютере, и восстанавливает доступ. Но здесь важно оперативно среагировать после заражения ПК вирусом. Чем быстрее запустить дешифратор, тем более высока вероятность того, что можно очистить файлы от угрозы. И ни в коем случае нельзя перезапускать систему.

Дешифровка – это не самый легкий способ спасения от сетевого червя, поэтому лучше использовать утилиты очистки.

Вывод

Первые две версии вируса Wannacry с момента его появления удалось нейтрализовать, а третья вообще оказалась нерабочей. Но нельзя надеяться на то, что это конец. В сети можно найти информацию о существовании до 8-ми разновидностей червя, поэтому стоит позаботиться о безопасности своего компьютера.

Всегда используйте автоматическое обновление системы и антивирус (обязательно нужно обновление ms17-010). Можете сделать резервные копии всех ценных файлов.

Не спешите скачивать из сети все подряд с первых ссылок, и уж тем более не переходите в электронных письмах на сомнительные ссылки и сайты.

Рекомендуется использовать только лицензионное программное обеспечение, чтобы всегда получать обновления и не проводить от wannacry лечение.

Не думайте, что эпидемия WannaCry остановлена навсегда. Лучше всегда быть начеку и заблаговременно подготовиться к угрозе уязвимости. Пользуйтесь антивирусными сервисами, надежными паролями и RusVPN на своих устройствах, чтобы заблаговременно оградить себя от угрозы кибератаки.