Вирус wanna cry описание. Wanna decryptor (WannaCry) – как защититься от цифровой пандемии. Распространение вируса WannaCry

Вирус WannaCry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.

Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:

• коммерческих компаний;
• государственных структур;
• физических лиц.

Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:

• Индия;
• Украина;
• Россия.

За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.

Стоит ли ждать новой волны заражения и как обезопасить свой компьютер?

Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.

Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.

Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.

По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.

Профилактика и лечение

Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.

Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.

Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.

Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.

В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.

Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:

• выполнить специальный скрипт в утилите АВЗ;
• проверить настройки в системе HijackThis;
• запустить специализированное программное обеспечение Farbar Recovery Scan Tool.

При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.

Как обновить свою систему с точки зрения безопасности?

Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.

Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:

• 3210720;
• 3210721;

Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.

Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.

Начало мая этого года было ознаменовано огромной кибер-атакой, под которую попали государственные и частные компьютеры и компьютерные сети во всем мире. Для выполнения этой атаки злоумышленниками был использован неизвестный ранее вирус вымогатель Wanna Cry. О заражении своей техники сообщили представители 150-ти стран. В их число входят Россия, Индия, Украина, Италия, Великобритания, Германия, Испания, Япония, Португалия, Тайвань, и др.

Действие вируса Wanna Cry 2017 было ориентировано на то, чтобы, попав на компьютер, зашифровать имеющиеся на нем файлы, и вымогать за их дешифрацию выкуп. В противном случае пользователи могли навсегда лишиться своей информации.

В основном эпидемия вируса Wanna Cry распространилась на большие государственные структуры и учреждения. Например, такие как госструктуру России, лечебные заведения в Англии, железнодорожные перевозчики в Германии, информационные системы и энергетические объекты в Испании и Италии, пр. По статистическим дынным, которые были озвучены представителями национальной безопасности США, взлому были подвергнуты более 300 тыс. компьютеров во всем мире.

Что такое вирус WannaCry?

Компьютерный вирус Wanna Cry представляет собой своего рода плагин-криптор, который, внедряясь в систему компьютера, производит шифрование пользовательских файлов с помощью специального криптоустойчивого алгоритма. После таких действий вируса чтение файлов и операции с ними становятся невозможными. Среди наиболее распространенных файлов, которые шифрует интернет вирус Wanna Cry, относятся:

• файлы, созданные с помощью программного пакета Microsoft Office;
• файлы различных архивов;
• видео- фото- и аудиофайлы.

Вирус реализован в виде программы WanaCrypt0r 2.0, которая может распространяться с помощью e-mail или социальных сетей. Атака вируса Wanna Cry была ориентирована на компьютерные системы, которые управляются с помощью операционной системы Windows.

За дешифрацию закодированных файлов вирус шифровальщик Wanna Cry вымогает у пользователя ПК денежное вознаграждение, которое составляет 300…600 долларов. Оплату за разблокировку предлагалось оплатить с помощью, набирающей сейчас популярность, криптовалюты биткоин.

Кто создал вирус WannaCry?

Тот, кто запустил вирус Wanna Cry, использовал уязвимость операционной системы MSB-MS17-010, о которой многим было известно и ранее. В компании Microsoft было подтверждена информация о том, что вирусом действительно использовалась уязвимость их системы, информация о которой была выкрадена у комиссии нацбезопасности США (АНБ).

АНБ действительно владела информацией об этой уязвимости, которая была реализована в виде инструмента для реализации кибер-атаки EternalBlue. Позже алгоритмы этого инструмента попали в руки хакерской команды The Shadow Brokers, которая опубликовала их в общедоступный доступ в апреле этого года.

Специалисты компании Лаборатория Касперского, а также их коллеги из Symantec обратили внимание на то, что код вируса Wanna Cry очень похож на сигнатуры вируса, применяемого хакерской группировкой Lazarus Group в начале 2015 года, которая была замечена в связях с правительством КНДР. Подобное утверждение было подтверждено и представителями корейской компании Hauri Labs, которые также заметили сходство алгоритма вируса вымогателя с вредоносными кодами, используемыми северокорейскими хакерами. Возможно тот, кто создал вирус и имеет отношение к Lazarus Group, но пока это только догадки.

На сегодняшний день все же остается загадкой, как проявился вирус Wanna Cry, которую предстоит разгадать спецслужбам разных стран.

Принцип работы вируса

Создатели вируса Wanna Cry ориентировались прежде всего на крупные предприятия, где имеется много важной и ценной информации, за которую можно получить существенный выкуп. Но, не исключением стали и пользователи обычных домашних компьютеров, подключенных к глобальной сети Интернет.

Основным способом заражения вирусом является рассылка писем по электронной почте. В таком письме пользователю оправляется некая информация и ссылка, при переходе через которую, на компьютер происходит загрузка вредоносной программы WanaCrypt0r 2.0. Также заразить свой компьютер можно при неосторожном скачивании файлов с торрентов, файлообменников или при попытке открыть картинку, прослушать песню, к файлу которой прикреплен вирус.

После того, как программа WanaCrypt0r v2.0 была скачана на компьютер и запущена произойдет загрузка непосредственно и самого вируса. Далее он производит сканирование накопителей компьютера и выполняет шифрование имеющейся на них информации. Кодированию подвержены как системные файлы операционной системы, так и рабочие файлы пользователя, включая документы, фото, видео и пр. После того, как проявился вирус Wanna Cry, зашифрованные файлы на ПК будут иметь расширение WNCRY, а доступ к ним будет запрещен. При попытке использовать такие файлы на экране компьютера появится предупреждение о необходимости оплаты выкупа в биткоинах за то, чтобы произвести раскодировку файлов.

На сегодня вирус Wanna Cry остановлен, но не исключено, что атака со стороны хакеров может повториться снова, чтобы инфицировать еще большее число компьютеров.

Модифицировался ли вирус после заражения первой версией?

Перед тем, как заражению были подвергнуты компьютеры с помощью программы WanaCrypt0r v2.0, была еще первая версия этой программы WanaCrypt0r, которая отличалась только способом распространения. Все другие симптомы вирусы Wanna Cry имели одинаковые.

Используя описанную выше уязвимость, вирус Wanna Cry первой и второй модификации распаковывает свой инсталлятор, извлекает из архива сообщение о выкупе, которое выдается пользователю на том языке, который используется системой его компьютера (вирусом поддерживается 30 различных языков).

Следующим что делает вирус Wanna Cry – это закачивание TOR-браузера, посредством которого происходит поддержка связи с серверной системой, управляющей вирусом-шифровальщиком. После этой процедуры вирусом открывается полный доступ к файлам и каталогам, хранимым на накопителе компьютера. Таким образом расширяется число файлов, которые могут быть зашифрованы.

Признаки вируса Wanna Cry могут проявиться еще до того, как пользователь увидит сообщение о необходимости оплаты выкупа. Дело в том, что программа WanaCrypt0r v2.0 прописывает себя в автозагрузку и загружает впоследствии процессор компьютера и жесткий диск. Уже по этим признакам пользователь должен обратить внимание на систему своего компьютера и проверить ее на наличие вредоносных программ, среди которых может быть одна из версий Wanna Cry.

Последний из этапов действия вирусной программы является удаление всех резервных и теневых копий файлов, из которых их можно восстановить. Для реализации этой процедуры потребуется получение полных прав администратора операционной системы. В таком случае ОС может выдавать предупреждение от встроенной службы UAC. По неопытности пользователь может подтвердить получение доступа вирусу шифровальщику Wanna Cry, что делать категорически запрещается. Если пользователем будет сделан отказ, то эти файлы останутся, что существенно увеличит вероятность восстановления зашифрованной информации.

Какие ОС больше всего затронул вирус?

Многие пользователи ПК озадачены вопросом, какие версии Windows поражает вирус Wanna Cry. После такой мощной атаки каждый теперь старается защитить свою информацию как можно лучше. Вирус, который распространялся в майской кибер-атаке, был нацелен на операционные системы Windows, которые имели перечисленную выше уязвимость. Среди компьютеров, которые были заражены, оказались те, на которых была установлена ОС Windows Vista//7//8//10, а также Windows Server модификаций 2008//2012 и 2016.

Исследуя статистические данные о зараженных компьютерах, выяснилось что 98% из общего числа зараженных ПК поразил вирус Wanna Cry с Windows 7 . Именно эта операционная система оказалась менее всего защищенной от кибер-атаки. При этом, 60% из зараженных ПК использовали 64-разрядную версию операционки.

Чтобы защитить своих клиентов в будущем, выпущена заплатка Microsoft от вируса Wanna Cry. Для пользователей, которые используют уже неподдерживаемые операционные системы, с целью защиты Windows от вируса Wanna Cry Microsoft выпустила специальный патч, исключающий заражение файлов.

Что касается владельцев ПК с ОС Linux, вирус Wanna Cry их не затронул, как и владельцев техники с Mac OS. Также не распространился вирус Wanna Cry и на андроид устройства.

В каких странах наиболее распространен вирус?

Исследуя карту заражения вирусом Wanna Cry, можно сделать выводы, что эта кибер-атака была направлена на информационную систему России. Около 75% атак было направлено на компьютеры РФ. Второе и третье место в «рейтинге атакованных» занимают Украина и Индия. Но в отличие от Российской Федерации, Украина вирусом Wanna Cry, как и Индия были инфицированы менее 10%.

В перечень тех, кто пострадал от вируса Wanna Cry входят также пользователи Тайваня, Таджикистана, Казахстана, Люксембурка, Китая, Румынии, Италии, Испании. Такие страны, как Германия и Великобритания, в которых шла атака на их государственные объекты по числу заражений не попали в 20-ку этого «рейтинга».

Как уберечься от заражения?

На сегодняшний день вирус шифровальщик 2017 Wanna Cry остановлен – это удало сделать специалисту из Великобритании, который зарегистрировал доменное имя, к которому обращалась программа WanaCrypt0r. Благодаря этому удалось приостановить распространение вредоносного плагина через всемирную информационную сеть. Вопрос остается в другом – на долго ли? Поэтому каждый пользователей должен знать несколько правил, чтобы исключить заражение:

Следует загрузить последние обновления для своей ОС Windows (заплатка от Wanna Cry есть даже под уже устаревшую Windows XP);

• важно пользоваться антивирусными программами и постоянно обновлять их;
• чтобы вовремя обнаружить потенциально опасные файлы, которые могут быть признаками вируса Wanna Cry, следует в настройках Windows активировать опцию отображения расширения файлов;
• специалисты также рекомендуют произвести блокирование 445-го порта межсетевого экрана, посредством которого и осуществлялось заражение;
• следует быть внимательным к письмам, которые приходят на e-mail, не открывать подозрительные файлы, ссылки, быть аккуратным в соцсетях при просмотре фотографий и видео.

Что делать если заражение произошло?

Если избежать попадания вируса-шифровальщика на ПК избежать не удалось, важно не паниковать. Конечно, можно попробовать и заплатить выкуп, если есть лишние деньги, но где гарантия, что злоумышленники действительно расшифруют все файлы?

1. Если Вы стали жертвой вымогателя Wanna Cry следует обратиться на технический форум «Лаборатории Касперского» , где работают профессионалы компании и волонтеры-программисты, которые помогают решить эту проблему.
2. Сейчас ведется активная работа по разработке дешифровальщика информации, которая была обработана WanaCrypt0r и в ближайшем будущем он будет предложен пользователям.
3. Если вирус шифровальщик Wanna Cry заразил компьютер, на котором нет ценной информации, и пользователь может легко с ней расстаться, то избавиться от вредоносного кода можно и самостоятельно. Для этого достаточно произвести форматирование диска с полным удалением всей информации и последующей остановкой новой ОС.

Заключение

Кибер-атака Wanna Cry является не первым и не последним таким случаем, хотя и малоприятным. Чтобы защитить себя и свою информацию важно соблюдать давно установившиеся правила использования сетевых ресурсов. Нужно своевременно обновлять свою операционную систему, использовать встроенные инструменты безопасности, а также различные антивирусы. И что самое главное, быть аккуратным и внимательным при использовании информационных ресурсов. Ведь зачастую пользователи сами приносят беду на свой компьютер, пользуясь ресурсами с плохой репутацией, а также скачивая и используя неизвестные и непроверенные файлы.

Эту кибератаку уже назвали самой масштабной в истории. Более 70 стран, десятки тысяч зараженных компьютеров. Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого. Под ударом - больницы, железные дороги, правительственные учреждения.

В России атака была самой массированной. Сообщения, которые сейчас приходят, напоминают сводки с компьютерных фронтов. Из последнего: в РЖД заявили, что вирус пытался проникнуть в их IT-систему, он уже локализован и его пытаются уничтожить. Также о попытках взлома говорили в Центробанке, МВД, МЧС, компаниях связи.

Так выглядит вирус, парализовавший десятки тысяч компьютеров по всему миру. Понятный интерфейс и текст, переведенный на десятки языков - «у вас есть только три дня, чтобы заплатить». Вредоносная программа, которая шифрует файлы, требует за их разблокировку, по разным данным, от 300 до 600 долларов. Только в кибервалюте. Шантаж в прямом смысле на грани жизни и смерти.

«Я был полностью готов к операции, даже капельницу уже поставили, и тут приходит хирург и говорит, что у них проблемы с оборудованием из-за кибератаки», - рассказывает Патрик Уорд.

Вакцины от компьютерного вируса ни нашлось ни в сорока британских клиниках, которых атаковали первыми, ни в крупнейшей испанской телекоммуникационной компании «Телефоника». Следы, как говорят эксперты, одной из самых масштабных хакерских атак в мировой истории даже на табло вокзалов в Германии. В одном из семи диспетчерских центров немецкого железнодорожного перевозчика «Дойче Бан» вышла из строя система управления. Последствия могли быть катастрофическими.

Всего жертвами кибератаки уже стали 74 страны. Не тронуты разве что Африка и несколько государств в Азии и Латинской Америке. Неужели только пока?

«Это все сделано для получения денег организованной преступностью. Нет никакой политической подоплеки или скрытых мотивов. Чистый шантаж», - говорит эксперт по антивирусам IT-компании Бен Рапп.

Британские СМИ, впрочем, политическую подоплеку тут же нашли. И обвинили во всем русских хакеров, правда, без всяких доказательств, связав кибератаку с авиаударом американцев по Сирии. Якобы вирус-вымогатель стал местью Москвы. При этом, по данным тех же британских СМИ, Россия в этой атаке пострадала больше всего. И с этим, абсолютно точно, поспорить сложно. Только в МВД были атакованы больше тысячи компьютеров. Впрочем, безуспешно.

Отразили атаки в МЧС и Минздраве, в Сбербанке и в Мегафоне». Сотовый оператор даже на какое-то время приостановил работу колл-центра.

«Указ президента о создания российского сегмента Сети - это закрытый интернет вокруг госчиновников. Оборонка давно за этим щитом стоит. Скорее всего, я думаю, пострадали простые компьютеры обычных сотрудников. Вряд ли пострадал именно доступ к базам данных - они, как правило, на других операционных системах и находятся, как правило, у провайдеров», - сообщил советник президента России по развитию интернета Герман Клименко.

Программа, как утверждают разработчики антивирусов, заражает компьютер, если пользователь открыл подозрительное письмо, да еще и не обновил Windows. Это хорошо заметно на примере серьезно пострадавшего Китая - жители Поднебесной, как известно, питают особую любовь к пиратским операционкам. Но стоит ли платить, необдуманно кликнув мышкой, задаются вопросом по всему миру

«Если у компании нет резервной копии, они могут потерять доступ к данным. То есть, например, если хранится база данных пациентов больницы вместе с историями болезней в единой копии на этом сервере, куда попал вирус, то больница эти данные больше уже никаким образом не восстановит», - говорит эксперт по кибербезопасности Илья Скачков.

Пока, как выяснили блогеры, в электронном кошельке мошенников не больше четырех тысяч долларов. Мелочь, учитывая список жертв - затраты на взлом их винчестеров явно не сопоставимы. Британское издание Financial Times предположило, что вирус-вымогатель - это не что иное, как модифицированная злоумышленниками вредоносная программа Агентства национальной безопасности США. Когда-то ее создали для того, чтобы проникать в закрытые американские же системы. Это же подтвердил и бывший его сотрудник Эдвард Сноуден.

Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».

WikiLeaks, впрочем, также неоднократно предупреждал, что из-за маниакального желания следить за всем миром американские спецслужбы распространяют вредоносные программы. Но даже если это не так, возникает вопрос о том, как программы АНБ попадают в руки злоумышленников. Интересно и другое. Спасти мир от вируса предлагает другая американская спецслужба - Министерство национальной безопасности.

Как бы то ни было, истинные масштабы этой атаки еще предстоит оценить. Заражение компьютеров по всему миру продолжается. «Вакцина» тут одна - осторожность и предусмотрительность. Важно не открывать подозрительные вложенные файлы. При этом эксперты предупреждают: дальше будет больше. Частота и масштабы кибератак будут только нарастать.

Эту кибератаку уже назвали самой масштабной в истории. Более 70 стран, десятки тысяч зараженных компьютеров. Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого. Под ударом - больницы, железные дороги, правительственные учреждения.

В России атака была самой массированной. Сообщения, которые сейчас приходят, напоминают сводки с компьютерных фронтов. Из последнего: в РЖД заявили, что вирус пытался проникнуть в их IT-систему, он уже локализован и его пытаются уничтожить. Также о попытках взлома говорили в Центробанке, МВД, МЧС, компаниях связи.

Так выглядит вирус, парализовавший десятки тысяч компьютеров по всему миру. Понятный интерфейс и текст, переведенный на десятки языков - «у вас есть только три дня, чтобы заплатить». Вредоносная программа, которая шифрует файлы, требует за их разблокировку, по разным данным, от 300 до 600 долларов. Только в кибервалюте. Шантаж в прямом смысле на грани жизни и смерти.

«Я был полностью готов к операции, даже капельницу уже поставили, и тут приходит хирург и говорит, что у них проблемы с оборудованием из-за кибератаки», - рассказывает Патрик Уорд.

Вакцины от компьютерного вируса ни нашлось ни в сорока британских клиниках, которых атаковали первыми, ни в крупнейшей испанской телекоммуникационной компании «Телефоника». Следы, как говорят эксперты, одной из самых масштабных хакерских атак в мировой истории даже на табло вокзалов в Германии. В одном из семи диспетчерских центров немецкого железнодорожного перевозчика «Дойче Бан» вышла из строя система управления. Последствия могли быть катастрофическими.

Всего жертвами кибератаки уже стали 74 страны. Не тронуты разве что Африка и несколько государств в Азии и Латинской Америке. Неужели только пока?

«Это все сделано для получения денег организованной преступностью. Нет никакой политической подоплеки или скрытых мотивов. Чистый шантаж», - говорит эксперт по антивирусам IT-компании Бен Рапп.

Британские СМИ, впрочем, политическую подоплеку тут же нашли. И обвинили во всем русских хакеров, правда, без всяких доказательств, связав кибератаку с авиаударом американцев по Сирии. Якобы вирус-вымогатель стал местью Москвы. При этом, по данным тех же британских СМИ, Россия в этой атаке пострадала больше всего. И с этим, абсолютно точно, поспорить сложно. Только в МВД были атакованы больше тысячи компьютеров. Впрочем, безуспешно.

Отразили атаки в МЧС и Минздраве, в Сбербанке и в Мегафоне». Сотовый оператор даже на какое-то время приостановил работу колл-центра.

«Указ президента о создания российского сегмента Сети - это закрытый интернет вокруг госчиновников. Оборонка давно за этим щитом стоит. Скорее всего, я думаю, пострадали простые компьютеры обычных сотрудников. Вряд ли пострадал именно доступ к базам данных - они, как правило, на других операционных системах и находятся, как правило, у провайдеров», - сообщил советник президента России по развитию интернета Герман Клименко.

Программа, как утверждают разработчики антивирусов, заражает компьютер, если пользователь открыл подозрительное письмо, да еще и не обновил Windows. Это хорошо заметно на примере серьезно пострадавшего Китая - жители Поднебесной, как известно, питают особую любовь к пиратским операционкам. Но стоит ли платить, необдуманно кликнув мышкой, задаются вопросом по всему миру

«Если у компании нет резервной копии, они могут потерять доступ к данным. То есть, например, если хранится база данных пациентов больницы вместе с историями болезней в единой копии на этом сервере, куда попал вирус, то больница эти данные больше уже никаким образом не восстановит», - говорит эксперт по кибербезопасности Илья Скачков.

Пока, как выяснили блогеры, в электронном кошельке мошенников не больше четырех тысяч долларов. Мелочь, учитывая список жертв - затраты на взлом их винчестеров явно не сопоставимы. Британское издание Financial Times предположило, что вирус-вымогатель - это не что иное, как модифицированная злоумышленниками вредоносная программа Агентства национальной безопасности США. Когда-то ее создали для того, чтобы проникать в закрытые американские же системы. Это же подтвердил и бывший его сотрудник Эдвард Сноуден.

Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».

WikiLeaks, впрочем, также неоднократно предупреждал, что из-за маниакального желания следить за всем миром американские спецслужбы распространяют вредоносные программы. Но даже если это не так, возникает вопрос о том, как программы АНБ попадают в руки злоумышленников. Интересно и другое. Спасти мир от вируса предлагает другая американская спецслужба - Министерство национальной безопасности.

Как бы то ни было, истинные масштабы этой атаки еще предстоит оценить. Заражение компьютеров по всему миру продолжается. «Вакцина» тут одна - осторожность и предусмотрительность. Важно не открывать подозрительные вложенные файлы. При этом эксперты предупреждают: дальше будет больше. Частота и масштабы кибератак будут только нарастать.

Новый вирус-шифровальщик WannaCry или WanaDecryptor 2.0, оставляющий вместо пользовательских данных зашифрованные файлы.wncry, сотрясает просторы Интернета. Поражены сотни тысяч компьютеров и ноутбуков по всему миру. Пострадали не только обычные пользователи, но сети таких крупных компаний как Сбербанк, Ростелеком, Билайн, Мегафон, РЖД и даже МВД России.

Такую массовость распространения вирусу-вымогателю обеспечило использование новых уязвимостей операционных систем семейства Windows, которые были рассекречены с документами спецслужб США.

WanaDecryptor, Wanna Cry, WanaCrypt или Wana Decryptor — какое название правильное?

На то время, когда началась вирусная атака на глобальную паутину ещё никто не знал как точно называется новая зараза. Сначала её называли Wana Decrypt0r по называнию окна с сообщением, которое возникало на рабочем столе. Несколько позднее появилась новая модификация шифровальщика — Wanna Decrypt0r 2.0 . Но опять же, это окно-вымогатель, которое фактически продаёт пользователю ключ-декриптор, который теоретически должен прийти пострадавшему после того, как он переведёт мошенникам требуемую сумму. Сам же вирус, как оказалось, называется Wanna Cry (Ванна Край).
В Интернете же до сих пор можно встретить разные его наименования. Причём часто пользователи вместо буквы «o» ставят цифру «0» и наоборот. Так же большую путаницу вносят различные манипуляции с пробелами, например WanaDecryptor и Wana Decryptor, либо WannaCry и Wanna Cry.

Как работает шифровальщик WanaDecryptor

Принцип работы этого вымогателя коренным образом отличается от предыдущих вирусов-шифровальщиков, с которыми мы встречались. Если раньше для того, чтобы зараза начала работать на компьютере, надо было её сначала запустить. То есть ушастому юзеру приходило письмо по почте с хитрым вложением — скриптом маскирующимся по какой-нибудь документ. Человек запускал исполняемый файл и тем самым активировал заражение ОС. Вирус Ванна Край работает по другом. Ему не надо пытаться обмануть пользователя, достаточно чтобы у того была доступна критическая уязвимость службы общего доступа к файлам SMBv1, использующая 445-й порт. К слову сказать, уязвимость эта стала доступна благодаря информации из архивов американских спецслужб опубликованной на сайте wikileaks.
Попав на компьютер жертвы WannaCrypt начинает массово шифровать файлы своим, очень стойким алгоритмом. В основном поражению подвержены следующие форматы:

key, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt,edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

У зашифрованного файла меняется расширение на .wncry . В каждую папку вирус вымогатель может добавить еще два файла. Первый — это инструкция, где описано как делаеться расшифровка wncry-файла Please_Read_Me.txt, а второй — приложение-дектиптор WanaDecryptor.exe.
Эта пакость работает тихо-мирно до тех пор, пока не поразит весь жесткий диск, после чего выдаст окно WanaDecrypt0r 2.0 с требованием дать денег. Если пользователь не дал ему доработать до конца и антивирусом смог удалить программу-криптор, на рабочем столе появится вот такое сообщение:

То есть пользователя предупреждают, что часть его файлов уже поражена и если Вы желаете получить их обратно — верните криптор обратно. Ага, сейчас! Ни к коем случае этого не делайте, иначе потеряете и остальное. Внимание! Как расшифровать файлы WNCRY не знает никто. Пока. Возможно позже какое-то средство расшифровки появится — поживём, увидим.

Защита от вируса Wanna Cry

Вообще, патч Майкрософт MS17-010 для защиты от щифровальщика Wanna Decryptor вышел ещё 12 мая и если на вашем ПК служба обновления Windows работает нормально, то
скорее всего операционная система уже защищена. В противном случае нужно скачать этот патч Microsoft для своей версии Виндовс и срочно установить его.
Затем желательно отключить вообще поддержку SMBv1. Хотя бы пока не схлынет волна эпидемии и обстановка не устаканится. Сделать это можно либо из командной строки с правами Администратора, введя команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Вот таким образом:

Либо через панель управления Windows. Там необходимо зайти в раздел «Программы и компоненты», выбрать в меню «Включение или отключение компонентов Windows». Появится окно:

Находим пункт «Поддержка общего доступа к файлам SMB 1.0/CIFS», снимаем с него галочку и жмём на «ОК».

Если вдруг с отключением поддержки SMBv1 возникли проблемы, то для защиты от Wanacrypt0r 2.0 можно пойти другим путём. Создайте в используемом в системе фаерволе правило, блокирующее порты 135 и 445. Для стандартного брандмауэра Windows нужно ввести в командной строке следующее:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Close_TCP-445″

Ещё вариант — воспользоваться специальным бесплатным приложением Windows Worms Doors Cleaner :

Оно не требует установки и позволяет без проблем перекрыть бреши в системе, через которые в неё может пролезть вирус-шифровальщик.

Ну и конечно же нельзя забывать про антивирусную защиту. Используйте только проверенные антивирусные продукты — DrWeb, Kaspersky Internet Security, E-SET Nod32. Если антивирус у Вас уже установлен — обязательно обновите его базы:

Напоследок дам небольшой совет. Если у Вас есть очень важные данные, которые крайне нежелательно потерять — сохраните их на съёмный жесткий диск и положите в шкаф. Хотя бы на время эпидемии. Только так можно хоть как-то гарантировать их сохранность, ведь никто не знает какая будет следующая модификация.