काय करावं रडायचं. तुमचा संगणक आजारी पडू नये यासाठी Wanna Cry कडून Windows पॅच. जेव्हा फाइल्स सिस्टम ड्राइव्हवर असतात

चेरचर 13.05.2019
Android साठी

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) - मालवेअर, नेटवर्क वर्म आणि रॅन्समवेअर. प्रोग्राम संगणकावर साठवलेल्या जवळजवळ सर्व फायली एन्क्रिप्ट करतो आणि त्या डिक्रिप्ट करण्यासाठी खंडणीची मागणी करतो. अलिकडच्या वर्षांत या प्रकारच्या मालवेअरची मोठ्या प्रमाणात नोंदणी झाली आहे, परंतु त्यांच्या वितरणाच्या प्रमाणात आणि वापरलेल्या तंत्रांमुळे WannaCry त्यांच्यामध्ये वेगळे आहे.

हा एन्क्रिप्शन विषाणू सकाळी 10 वाजता पसरण्यास सुरुवात झाली आणि आधीच 12 मेच्या संध्याकाळी, मीडियाने असंख्य संसर्गाची माहिती देण्यास सुरुवात केली. विविध प्रकाशने लिहितात की Sberbank सह सर्वात मोठ्या होल्डिंगवर हॅकर हल्ला करण्यात आला.

वापरकर्ता प्रश्न. “माझा सध्याचा वैयक्तिक लॅपटॉप, Windows 7 Home Premium चालवणारा, जेव्हा मी तो बंद करतो तेव्हा विविध पॅचेस आपोआप इंस्टॉल होतात...

आणि माझ्याकडे असलेला W10 टॅबलेट चालू झाल्यावर नवीन पॅच आपोआप स्थापित करतो... कॉर्पोरेट डेस्कटॉप पीसी चालू किंवा बंद केल्यावर त्यांचे OS स्वयंचलितपणे अपडेट करत नाहीत का? खरंच - का?

काही काळानंतर, प्रशिक्षण व्हिडिओंसह शोषणांचा संपूर्ण संच सार्वजनिकरित्या उपलब्ध केला गेला. ते कोणीही वापरू शकतो. जे नेमके घडले. शोषण किटमध्ये DoublePulsar टूलचा समावेश आहे. पोर्ट 445 उघडे असताना आणि MS 17-010 अपडेट इन्स्टॉल केलेले नसताना, रिमोट कोड एक्झिक्यूशन क्लास वेल्नरेबिलिटी (संगणकाला दूरस्थपणे संक्रमित करण्याची क्षमता (NSA EternalBlue exploit)) वापरून, सिस्टम कॉल्समध्ये अडथळा आणणे आणि दुर्भावनापूर्ण कोड इंजेक्ट करणे शक्य आहे. स्मृती कोणतेही ईमेल प्राप्त करण्याची आवश्यकता नाही - जर तुमच्याकडे इंटरनेट प्रवेश असलेला संगणक असेल, SMBv1 सेवा चालू असेल आणि MS17-010 पॅच स्थापित नसेल, तर हल्लेखोर तुम्हाला स्वतः शोधेल (उदाहरणार्थ, ब्रूट-फोर्सिंग पत्त्यांद्वारे).

WannaCry विश्लेषण

WannaCry Trojan (उर्फ WannaCrypt) तुमच्या कॉम्प्युटरवर काही विशिष्ट विस्तारांसह फाइल्स एन्क्रिप्ट करते आणि बिटकॉइन्समध्ये $300 ची खंडणी मागते. पेमेंटसाठी तीन दिवस दिले जातात, त्यानंतर रक्कम दुप्पट होते.

128-बिट की असलेले अमेरिकन AES अल्गोरिदम एन्क्रिप्शनसाठी वापरले जाते.

चाचणी मोडमध्ये, ट्रोजनमध्ये हार्डवायर असलेली दुसरी RSA की वापरून एन्क्रिप्शन केले जाते. या संदर्भात, चाचणी फाइल्सचे डिक्रिप्शन शक्य आहे.

एनक्रिप्शन प्रक्रियेदरम्यान, अनेक फायली यादृच्छिकपणे निवडल्या जातात. ट्रोजन त्यांना विनामूल्य डिक्रिप्ट करण्याची ऑफर देतो, जेणेकरुन पीडिताला खात्री होईल की ते खंडणी भरल्यानंतर उर्वरित डिक्रिप्ट करू शकतात.

पण या निवडक फाईल्स आणि बाकीच्या वेगवेगळ्या की वापरून एनक्रिप्ट केलेल्या आहेत. म्हणून, डिक्रिप्शनची कोणतीही हमी नाही!

WannaCry संसर्गाची चिन्हे

संगणकावर एकदा, ट्रोजन mssecsvc2.0 (दृश्यमान नाव - Microsoft सुरक्षा केंद्र (2.0) सेवा) नावाची Windows प्रणाली सेवा म्हणून चालते.

वर्म कमांड लाइन वितर्क स्वीकारण्यास सक्षम आहे. किमान एक युक्तिवाद निर्दिष्ट केला असल्यास, mssecsvc2.0 सेवा उघडण्याचा प्रयत्न करतो आणि त्रुटी आढळल्यास रीस्टार्ट करण्यासाठी कॉन्फिगर करतो.

लाँच केल्यानंतर, ते C:\WINDOWS\tasksche.exe फाईलचे C:\WINDOWS\qeriuwjhrf असे नाव देण्याचा प्रयत्न करते, ती एन्कोडर ट्रोजन रिसोर्सेसमधून C:\WINDOWS\tasksche.exe फाइलमध्ये सेव्ह करते आणि /i सह लॉन्च करते. पॅरामीटर लॉन्च केल्यावर, ट्रोजन संक्रमित मशीनचा IP पत्ता प्राप्त करतो आणि सबनेटमधील प्रत्येक IP पत्त्याच्या TCP पोर्ट 445 शी कनेक्ट करण्याचा प्रयत्न करतो - तो अंतर्गत नेटवर्कवर मशीन शोधतो आणि त्यांना संक्रमित करण्याचा प्रयत्न करतो.

प्रणाली सेवा म्हणून सुरू झाल्यानंतर 24 तासांनंतर वर्म आपोआप बंद होतो.

स्वतःचा प्रसार करण्यासाठी, मालवेअर विंडोज सॉकेट्स, क्रिप्टोएपीआय सुरू करतो आणि अनेक थ्रेड लाँच करतो. त्यापैकी एक संक्रमित पीसीवरील सर्व नेटवर्क इंटरफेस सूचीबद्ध करतो आणि स्थानिक नेटवर्कवर उपलब्ध होस्टची पोल करतो, बाकीचे यादृच्छिक IP पत्ते तयार करतात. वर्म पोर्ट 445 वापरून या रिमोट होस्टशी कनेक्ट करण्याचा प्रयत्न करतो. जर ते उपलब्ध असेल, तर ते SMB प्रोटोकॉलमधील भेद्यतेचा वापर करून वेगळ्या धाग्यात नेटवर्क होस्ट्सना संक्रमित करते.

लॉन्च केल्यानंतर लगेच, वर्म रिमोट सर्व्हरला विनंती पाठवण्याचा प्रयत्न करतो ज्याचे डोमेन ट्रोजनमध्ये संग्रहित आहे. या विनंतीला प्रतिसाद मिळाल्यास, ते बाहेर पडते.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

WannaCrypt आणि इतर ransomware विरुद्ध संरक्षण

WannaCry ransomware आणि त्याच्या भविष्यातील सुधारणांपासून संरक्षण करण्यासाठी, तुम्ही हे करणे आवश्यक आहे:

  1. SMB v1 सह न वापरलेल्या सेवा अक्षम करा.
  • PowerShell वापरून SMBv1 अक्षम करणे शक्य आहे:
    SmbServerConfiguration -EnableSMB1Protocol $false
  • रेजिस्ट्री द्वारे:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, DWORD = 0 प्रकाराचे SMB1 पॅरामीटर
  • तुम्ही स्वतः सेवा देखील काढून टाकू शकता, जी SMBv1 साठी जबाबदार आहे (होय, SMBv2 ची वेगळी सेवा त्यासाठी वैयक्तिकरित्या जबाबदार आहे):
    sc.exe कॉन्फिगरेशन lanmanworkstation depend=bowser/mrxsmb20/nsi
    sc.exe कॉन्फिगरेशन mrxsmb10 start=disabled
  1. 135, 137, 138, 139, 445 (SMB पोर्ट) पोर्टसह न वापरलेले नेटवर्क पोर्ट बंद करण्यासाठी फायरवॉल वापरा.

आकृती 2. फायरवॉल वापरून पोर्ट 445 अवरोधित करण्याचे उदाहरणखिडक्या

आकृती 3. फायरवॉल वापरून पोर्ट 445 अवरोधित करण्याचे उदाहरणखिडक्या

  1. इंटरनेटवर ऍप्लिकेशन प्रवेश प्रतिबंधित करण्यासाठी अँटीव्हायरस किंवा फायरवॉल वापरा.

आकृती 4. विंडोज फायरवॉल वापरून ॲप्लिकेशनवर इंटरनेट प्रवेश प्रतिबंधित करण्याचे उदाहरण

आज, कदाचित, इंटरनेटपासून खूप दूर असलेल्या लोकांनाच 12 मे 2017 रोजी सुरू झालेल्या WannaCry (“मला रडायचे आहे”) एन्क्रिप्शन ट्रोजनसह कॉम्प्युटरच्या मोठ्या प्रमाणात संसर्गाबद्दल माहिती नाही. आणि ज्यांना माहित आहे त्यांच्या प्रतिक्रिया मी 2 विरुद्ध श्रेणींमध्ये विभाजित करू: उदासीनता आणि घाबरणे. याचा अर्थ काय?

आणि वस्तुस्थिती अशी आहे की खंडित माहिती परिस्थितीचे संपूर्ण आकलन प्रदान करत नाही हे अनुमानांना जन्म देते आणि उत्तरांपेक्षा अधिक प्रश्न मागे सोडते. खरोखर काय घडत आहे, कोणाला आणि कशाचा धोका आहे, संसर्गापासून स्वतःचे संरक्षण कसे करावे आणि WannaCry द्वारे खराब झालेल्या फायली कशा डिक्रिप्ट कराव्यात हे समजून घेण्यासाठी, आजचा लेख त्यास समर्पित आहे.

"सैतान" खरोखर इतका भितीदायक आहे का?

हा सगळा गोंधळ कशासाठी आहे ते मला समजत नाहीरडायचे आहे का? बरेच व्हायरस आहेत, नवीन सतत दिसतात. यात विशेष काय आहे?

WannaCry (इतर नावे WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) हे सामान्य सायबर मालवेअर नाही. त्याच्या बदनामीचे कारण म्हणजे प्रचंड प्रमाणात झालेले नुकसान. युरोपोलच्या म्हणण्यानुसार, 150 देशांमध्ये विंडोज चालवणाऱ्या 200,000 हून अधिक संगणकांचे ऑपरेशन विस्कळीत झाले आणि त्यांच्या मालकांना $1,000,000,000 पेक्षा जास्त नुकसान झाले आणि हे फक्त वितरणाच्या पहिल्या 4 दिवसात आहे. सर्वाधिक बळी रशिया आणि युक्रेनमधील आहेत.

मला माहित आहे की प्रौढ साइटद्वारे व्हायरस पीसीमध्ये प्रवेश करतात. मी अशा संसाधनांना भेट देत नाही, म्हणून मला धोका नाही.

विषाणू? मला पण एक समस्या आहे. जेव्हा माझ्या संगणकावर व्हायरस दिसतात तेव्हा मी *** युटिलिटी चालवतो आणि अर्ध्या तासानंतर सर्वकाही ठीक होते. आणि जर ते मदत करत नसेल तर मी विंडोज पुन्हा स्थापित करतो.

व्हायरस व्हायरसपेक्षा वेगळा आहे. WannaCry एक ट्रोजन रॅन्समवेअर आहे, एक नेटवर्क वर्म जो मानवी हस्तक्षेपाशिवाय एका संगणकावरून दुसऱ्या संगणकावर स्थानिक नेटवर्क आणि इंटरनेटद्वारे पसरू शकतो.

रॅन्समवेअरसह बहुतेक मालवेअर, वापरकर्त्याने “आमिष गिळल्यानंतर” म्हणजेच लिंकवर क्लिक केल्यानंतर, फाइल उघडल्यानंतरच कार्य करण्यास सुरुवात करतात. WannaCry चा संसर्ग होण्यासाठी, तुम्हाला काहीही करण्याची गरज नाही!

एकदा Windows काँप्युटरवर, मालवेअर अल्पावधीतच मोठ्या प्रमाणात वापरकर्ता फाइल्स एन्क्रिप्ट करतो, त्यानंतर तो $300-600 च्या खंडणीची मागणी करणारा संदेश प्रदर्शित करतो, जो 3 दिवसांच्या आत निर्दिष्ट वॉलेटमध्ये हस्तांतरित करणे आवश्यक आहे. उशीर झाल्यास, 7 दिवसांत फाइल्सचे डिक्रिप्शन अशक्य करण्याची धमकी दिली.

त्याच वेळी, मालवेअर इतर संगणकांमध्ये प्रवेश करण्यासाठी पळवाटा शोधतो आणि जर तो सापडला तर तो संपूर्ण स्थानिक नेटवर्कला संक्रमित करतो. याचा अर्थ असा की शेजारच्या मशीनवर संग्रहित केलेल्या फाइल्सच्या बॅकअप प्रती देखील निरुपयोगी होतात.

संगणकावरून व्हायरस काढून टाकल्याने फाइल्स डिक्रिप्ट होत नाहीत!ऑपरेटिंग सिस्टम देखील पुन्हा स्थापित करत आहे. याउलट, रॅन्समवेअरचा संसर्ग झाल्यास, या दोन्ही क्रियांमुळे तुमच्याकडे वैध की असली तरीही फाइल्स पुनर्प्राप्त करण्याची क्षमता तुम्हाला वंचित ठेवू शकते.

तर होय, “धिक्कार” खूप भयानक आहे.

WannaCry कसे पसरते

तुम्ही खोटे बोलत आहात. व्हायरस मी स्वतः डाउनलोड केला तरच माझ्या संगणकावर येऊ शकतो. आणि मी सतर्क आहे.

अनेक मालवेअर असुरक्षांद्वारे संगणकांना (आणि मोबाईल डिव्हाइसेस देखील) संक्रमित करू शकतात - ऑपरेटिंग सिस्टम घटक आणि प्रोग्राम्सच्या कोडमधील त्रुटी ज्यामुळे सायबर हल्लेखोरांना त्यांच्या स्वत: च्या हेतूंसाठी रिमोट मशीन वापरण्याची संधी मिळते. WannaCry, विशेषतः, SMB प्रोटोकॉलमधील 0-दिवस असुरक्षिततेद्वारे पसरते (शून्य-दिवस असुरक्षा या त्रुटी आहेत ज्या मालवेअर/स्पायवेअरद्वारे शोषणाच्या वेळी निश्चित केल्या गेल्या नाहीत).

म्हणजेच, संगणकाला रॅन्समवेअर वर्मने संक्रमित करण्यासाठी, दोन अटी पुरेशा आहेत:

  • नेटवर्कशी कनेक्शन जेथे इतर संक्रमित मशीन (इंटरनेट) आहेत.
  • सिस्टममध्ये वरील-वर्णित त्रुटीची उपस्थिती.

हा संसर्ग कोठून आला? हे रशियन हॅकर्सचे काम आहे का?

काही अहवालांनुसार (मी सत्यतेसाठी जबाबदार नाही), यूएस नॅशनल सिक्युरिटी एजन्सीने प्रथम SMB नेटवर्क प्रोटोकॉलमध्ये दोष शोधला होता, ज्याचा वापर Windows मधील फाइल्स आणि प्रिंटरच्या कायदेशीर रिमोट ऍक्सेससाठी केला जातो. मायक्रोसॉफ्टला तक्रार करण्याऐवजी ते त्रुटी दूर करू शकतील, NSA ने ते स्वतः वापरण्याचा निर्णय घेतला आणि यासाठी एक शोषण विकसित केले (असुरक्षिततेचे शोषण करणारा प्रोग्राम).

intel.malwaretech.com वेबसाइटवर WannaCry वितरणाच्या गतिशीलतेचे व्हिज्युअलायझेशन

त्यानंतर, हे शोषण (कोडनेम EternalBlue), ज्याने काही काळ NSA ला मालकांच्या माहितीशिवाय संगणकात प्रवेश केला, हॅकर्सनी चोरला आणि WannaCry ransomware च्या निर्मितीसाठी आधार तयार केला. म्हणजेच, यूएस सरकारी एजन्सीच्या पूर्णपणे कायदेशीर आणि नैतिक कृती न केल्याबद्दल धन्यवाद, व्हायरस लेखकांना असुरक्षिततेबद्दल माहिती मिळाली.

मी अद्यतनांची स्थापना अक्षम केली आहेखिडक्या. जेव्हा सर्वकाही त्यांच्याशिवाय कार्य करते तेव्हा ते कशासाठी आवश्यक आहे.

महामारीचा इतका वेगवान आणि व्यापक प्रसार होण्याचे कारण म्हणजे त्या वेळी “पॅच” ची अनुपस्थिती - एक विंडोज अपडेट जे वाना क्राय पळवाट बंद करू शकते. अखेर, ते विकसित करण्यास वेळ लागला.

आज असा पॅच अस्तित्वात आहे. सिस्टम अपडेट करणाऱ्या वापरकर्त्यांना ते रिलीझच्या पहिल्या तासात स्वयंचलितपणे प्राप्त झाले. आणि ज्यांना असे वाटते की अद्यतनांची आवश्यकता नाही त्यांना अजूनही संसर्गाचा धोका आहे.

WannaCry हल्ल्याचा धोका कोणाला आहे आणि त्यापासून संरक्षण कसे करावे

माझ्या माहितीनुसार, 90% पेक्षा जास्त संगणक संक्रमित झाले आहेतWannaCry, द्वारे संचालितWindows 7. माझ्याकडे "दहा" आहे, याचा अर्थ मला धोका नाही.

SMB v1 नेटवर्क प्रोटोकॉल वापरणाऱ्या सर्व ऑपरेटिंग सिस्टम WannaCry संसर्गास संवेदनाक्षम आहेत. हे:

  • Windows XP
  • विंडोज व्हिस्टा
  • विंडोज ७
  • विंडोज ८
  • विंडोज ८.१
  • विंडोज आरटी 8.1
  • विंडोज 10 v 1511
  • विंडोज 10 v1607
  • विंडोज सर्व्हर 2003
  • विंडोज सर्व्हर 2008
  • विंडोज सर्व्हर 2012
  • विंडोज सर्व्हर 2016

आज, ज्या सिस्टमवर ती स्थापित केलेली नाही (technet.microsoft.com वेबसाइटवरून विनामूल्य डाउनलोडसाठी उपलब्ध आहे, ज्यावर लिंक दिली आहे) वापरकर्त्यांना नेटवर्कवरून मालवेअर उचलण्याचा धोका आहे. Windows XP, Windows Server 2003, Windows 8 आणि इतर असमर्थित ऑपरेटिंग सिस्टमसाठी पॅचेस डाउनलोड केले जाऊ शकतात. हे जीवन-बचत अद्यतनाची उपस्थिती तपासण्याचे मार्ग देखील वर्णन करते.

तुम्हाला तुमच्या संगणकावरील OS आवृत्ती माहित नसल्यास, Win+R की संयोजन दाबा आणि winver कमांड चालवा.

सुरक्षा वर्धित करण्यासाठी, आणि आता सिस्टम अद्यतनित करणे शक्य नसल्यास, Microsoft SMB प्रोटोकॉल आवृत्ती 1 तात्पुरते अक्षम करण्यासाठी सूचना प्रदान करते. ते स्थित आहेत आणि. याव्यतिरिक्त, परंतु आवश्यक नाही, तुम्ही TCP पोर्ट 445 बंद करू शकता, जे SMB ला फायरवॉलद्वारे सेवा देते.

माझ्याकडे जगातील सर्वोत्कृष्ट अँटीव्हायरस *** आहे, त्याद्वारे मी काहीही करू शकतो आणि मला कशाचीही भीती वाटत नाही.

WannaCry चा प्रसार वर वर्णन केलेल्या स्वयं-चालित पद्धतीद्वारेच नाही तर नेहमीच्या मार्गांनी देखील होऊ शकतो - सोशल नेटवर्क्स, ईमेल, संक्रमित आणि फिशिंग वेब संसाधने इ. आणि अशी प्रकरणे आहेत. तुम्ही दुर्भावनायुक्त प्रोग्राम मॅन्युअली डाउनलोड करून चालवल्यास, अँटीव्हायरस किंवा पॅचेस जे असुरक्षा बंद करतात ते तुम्हाला संसर्गापासून वाचवू शकत नाहीत.

व्हायरस कसा कार्य करतो, तो काय एन्क्रिप्ट करतो

होय, त्याला पाहिजे ते एन्क्रिप्ट करू द्या. माझा एक मित्र आहे जो प्रोग्रामर आहे, तो माझ्यासाठी सर्वकाही उलगडेल. शेवटचा उपाय म्हणून, आम्ही ब्रूट फोर्स वापरून की शोधू.

बरं, ते काही फायली एन्क्रिप्ट करते, मग काय? हे मला संगणकावर काम करण्यापासून प्रतिबंधित करणार नाही.

दुर्दैवाने, ते डिक्रिप्ट होणार नाही, कारण Wanna Cry वापरत असलेला RSA-2048 एन्क्रिप्शन अल्गोरिदम क्रॅक करण्याचे कोणतेही मार्ग नाहीत आणि नजीकच्या भविष्यात दिसणार नाहीत. आणि ते केवळ काही फायलीच नव्हे तर जवळजवळ सर्व काही कूटबद्ध करेल.

मी मालवेअरच्या ऑपरेशनचे तपशीलवार वर्णन देणार नाही, स्वारस्य असलेले कोणीही त्याचे विश्लेषण वाचू शकतात, उदाहरणार्थ, मध्ये मी फक्त सर्वात लक्षणीय क्षण लक्षात घेईन.

खालील विस्तारांसह फायली एन्क्रिप्ट केल्या आहेत: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

जसे तुम्ही बघू शकता, विविध प्रोग्राम्समध्ये तयार केलेली कागदपत्रे, फोटो, व्हिडिओ-ऑडिओ, संग्रहण, मेल आणि फाईल्स आहेत... मालवेअर सिस्टममधील प्रत्येक डिरेक्टरीपर्यंत पोहोचण्याचा प्रयत्न करतो.

एनक्रिप्टेड ऑब्जेक्ट्स दुहेरी विस्तार प्राप्त करतात पोस्टस्क्रिप्ट WNCRY सह, उदाहरणार्थ, "Document1.doc.WNCRY".

एन्क्रिप्शननंतर, व्हायरस प्रत्येक फोल्डरमध्ये एक एक्झिक्यूटेबल फाइल कॉपी करतो @[ईमेल संरक्षित] - खंडणीनंतर डिक्रिप्शनसाठी, तसेच मजकूर दस्तऐवजासाठी @[ईमेल संरक्षित] वापरकर्त्यासाठी संदेशासह.

पुढे, ते छाया प्रती आणि Windows पुनर्संचयित बिंदू नष्ट करण्याचा प्रयत्न करते. सिस्टम UAC चालवत असल्यास, वापरकर्त्याने या ऑपरेशनची पुष्टी करणे आवश्यक आहे. आपण विनंती नाकारल्यास, कॉपीमधून डेटा पुनर्संचयित करण्याची अद्याप संधी आहे.

WannaCry प्रभावित सिस्टमच्या एन्क्रिप्शन की टॉर नेटवर्कवर असलेल्या कमांड सेंटरवर प्रसारित करते, त्यानंतर ते संगणकावरून हटवते. इतर असुरक्षित मशीन्स शोधण्यासाठी, ते इंटरनेटवरील स्थानिक नेटवर्क आणि अनियंत्रित IP श्रेणी स्कॅन करते आणि एकदा सापडले की, ते पोहोचू शकतील अशा सर्व गोष्टींमध्ये प्रवेश करते.

आज, विश्लेषकांना विविध वितरण यंत्रणेसह WannaCry च्या अनेक बदलांची माहिती आहे आणि नजीकच्या भविष्यात नवीन दिसण्याची आम्हाला अपेक्षा आहे.

WannaCry ने तुमच्या संगणकाला आधीच संक्रमित केले असल्यास काय करावे

मला फाईल्स बदलताना दिसत आहेत. काय चाललंय? हे कसे थांबवायचे?

एन्क्रिप्शन ही एक-वेळची प्रक्रिया नाही, जरी ती खूप वेळ घेत नाही. तुमच्या स्क्रीनवर रॅन्समवेअर मेसेज दिसण्यापूर्वी तुमच्या लक्षात आले तर, तुम्ही ताबडतोब कॉम्प्युटरची पॉवर बंद करून काही फाइल्स सेव्ह करू शकता. प्रणाली बंद करून नाही, पण सॉकेटमधून प्लग अनप्लग करून!

जेव्हा विंडोज सामान्य मोडमध्ये बूट करते, तेव्हा एनक्रिप्शन चालू राहील, म्हणून ते प्रतिबंधित करणे महत्वाचे आहे. संगणकाची पुढील सुरुवात एकतर सुरक्षित मोडमध्ये होणे आवश्यक आहे, ज्यामध्ये व्हायरस सक्रिय नसतात किंवा इतर बूट करण्यायोग्य माध्यमांमधून.

माझ्या फाइल्स एनक्रिप्टेड आहेत! व्हायरस त्यांच्यासाठी खंडणीची मागणी करतो! काय करावे, कसे डिक्रिप्ट करावे?

WannaCry नंतर फाइल्स डिक्रिप्ट करणे केवळ तेव्हाच शक्य आहे जेव्हा तुमच्याकडे गुप्त की असेल, जी हल्लेखोरांनी पीडितेने त्यांना खंडणीची रक्कम हस्तांतरित केल्यावर लगेच प्रदान करण्याचे आश्वासन दिले. तथापि, अशी आश्वासने जवळजवळ कधीच पूर्ण होत नाहीत: मालवेअर वितरकांना त्यांना पाहिजे ते आधीच मिळाले असल्यास त्यांना त्रास का द्यावा?

काही प्रकरणांमध्ये, खंडणीशिवाय समस्या सोडविली जाऊ शकते. आजपर्यंत, 2 WannaCry डिक्रिप्टर्स विकसित केले गेले आहेत: आणि . पहिला फक्त Windows XP मध्ये कार्य करतो आणि दुसरा, पहिल्याच्या आधारे तयार केलेला, Windows XP, Vista आणि 7 x86 मध्ये तसेच नॉर्दर्न सिस्टम 2003, 2008 आणि 2008R2 x86 मध्ये कार्य करतो.

दोन्ही डिक्रिप्टर्सचे ऑपरेटिंग अल्गोरिदम एन्क्रिप्टर प्रक्रियेच्या मेमरीमध्ये गुप्त की शोधण्यावर आधारित आहे. याचा अर्थ असा की ज्यांच्याकडे संगणक रीस्टार्ट करण्यासाठी वेळ नाही त्यांनाच डिक्रिप्शनची संधी आहे. आणि जर एन्क्रिप्शनपासून जास्त वेळ निघून गेला नसेल (मेमरी दुसर्या प्रक्रियेद्वारे ओव्हरराईट केली गेली नाही).

त्यामुळे, जर तुम्ही Windows XP-7 x86 वापरकर्ता असाल, तर खंडणीचा संदेश दिसल्यानंतर तुम्ही सर्वप्रथम तुमचा संगणक स्थानिक नेटवर्क आणि इंटरनेटवरून डिस्कनेक्ट करा आणि दुसऱ्या डिव्हाइसवर डाउनलोड केलेला WanaKiwi डिक्रिप्टर चालवा. की काढून टाकण्यापूर्वी, संगणकावर इतर कोणतीही क्रिया करू नका!

वानाकिवी डिक्रिप्टरच्या कार्याचे वर्णन आपण दुसर्यामध्ये वाचू शकता.

फाइल्स डिक्रिप्ट केल्यानंतर, मालवेअर काढून टाकण्यासाठी अँटीव्हायरस चालवा आणि त्याचे वितरण मार्ग बंद करणारा पॅच स्थापित करा.

आज, अद्ययावत न केलेले अपवाद वगळता, जवळजवळ सर्व अँटीव्हायरस प्रोग्रामद्वारे WannaCry ओळखले जाते, म्हणून जवळजवळ कोणीही करेल.

हे आयुष्य पुढे कसं जगायचं

या स्वयं-चालित महामारीने जगाला आश्चर्यचकित केले. सर्व प्रकारच्या सुरक्षा सेवांसाठी, युटिलिटी कामगारांसाठी 1 डिसेंबर रोजी हिवाळा सुरू झाल्यासारखा अनपेक्षित होता. कारण निष्काळजीपणा आणि यादृच्छिकता आहे. त्याचे परिणाम म्हणजे डेटाचे अपूरणीय नुकसान आणि नुकसान. आणि मालवेअरच्या निर्मात्यांसाठी, त्याच भावनेने सुरू ठेवण्यासाठी हे प्रोत्साहन आहे.

विश्लेषकांच्या मते, WanaCry ने वितरकांना खूप चांगला लाभांश दिला, याचा अर्थ असा आहे की अशा प्रकारचे हल्ले पुन्हा केले जातील. आणि जे आता वाहून गेले आहेत ते नंतर वाहून जातील असे नाही. अर्थात, आपण आगाऊ काळजी नाही तर.

त्यामुळे, तुम्हाला एनक्रिप्टेड फाइल्सवर कधीही रडण्याची गरज नाही:

  • ऑपरेटिंग सिस्टम आणि ऍप्लिकेशन अद्यतने स्थापित करण्यास नकार देऊ नका. हे तुमचे 99% धोक्यांपासून संरक्षण करेल जे अनपॅच नसलेल्या असुरक्षांद्वारे पसरतात.
  • ते चालू ठेवा.
  • महत्त्वाच्या फायलींच्या बॅकअप प्रती तयार करा आणि त्या दुसऱ्या भौतिक माध्यमावर, किंवा अजून चांगल्या, अनेकांवर संग्रहित करा. कॉर्पोरेट नेटवर्कमध्ये, वितरीत डेटा स्टोरेज डेटाबेस वापरणे इष्टतम आहे; होम वापरकर्ते Yandex Disk, Google Drive, OneDrive, MEGASynk, इत्यादी मोफत क्लाउड सेवा वापरू शकतात. तुम्ही ते वापरत नसताना ते चालू ठेवू नका.
  • विश्वसनीय ऑपरेटिंग सिस्टम निवडा. विंडोज एक्सपी असे नाही.
  • एक व्यापक इंटरनेट सुरक्षा वर्ग अँटीव्हायरस आणि रॅन्समवेअर विरूद्ध अतिरिक्त संरक्षण स्थापित करा, उदाहरणार्थ. किंवा इतर विकसकांकडून ॲनालॉग.
  • रॅन्समवेअर ट्रोजनचा प्रतिकार करण्यासाठी तुमची साक्षरता पातळी वाढवा. उदाहरणार्थ, अँटीव्हायरस विक्रेता Dr.Web ने विविध प्रणालींच्या वापरकर्त्यांसाठी आणि प्रशासकांसाठी तयार केले आहे. इतर A/V विकासकांच्या ब्लॉगमध्ये भरपूर उपयुक्त आणि महत्त्वाचे म्हणजे विश्वसनीय माहिती असते.

आणि सर्वात महत्त्वाचे म्हणजे: तुम्हाला त्रास झाला असला तरीही, डिक्रिप्शनसाठी हल्लेखोरांना पैसे हस्तांतरित करू नका. तुमची फसवणूक होण्याची शक्यता 99% आहे. शिवाय कोणी पैसे दिले नाहीत तर खंडणीचा धंदा अर्थहीन होईल. अन्यथा, अशा संसर्गाचा प्रसार फक्त वाढेल.

साइटवर देखील:

WannaCry महामारी: वारंवार विचारल्या जाणाऱ्या प्रश्नांची उत्तरे आणि वापरकर्त्यांचे गैरसमज दूर करणेअद्यतनित: मे 27, 2017 द्वारे: जॉनी मेमोनिक

तो संपूर्ण इंटरनेटवर आपला दडपशाही चालू ठेवतो, संगणकांना संक्रमित करतो आणि महत्त्वाचा डेटा एन्क्रिप्ट करतो. रॅन्समवेअरपासून स्वतःचे संरक्षण कसे करावे, रॅन्समवेअरपासून विंडोजचे संरक्षण कसे करावे - फायली डिक्रिप्ट आणि निर्जंतुक करण्यासाठी पॅच रिलीझ केले गेले आहेत का?

नवीन रॅन्समवेअर व्हायरस 2017 वाना क्रायकॉर्पोरेट आणि खाजगी पीसी संक्रमित करणे सुरूच आहे. यू विषाणू हल्ल्यामुळे एकूण $1 अब्ज नुकसान झाले आहे. 2 आठवड्यांत, रॅन्समवेअर व्हायरसने कमीतकमी संक्रमित केले 300 हजार संगणकचेतावणी आणि सुरक्षा उपाय असूनही.

रॅन्समवेअर व्हायरस 2017, ते काय आहे?- नियमानुसार, आपण सर्वात निरुपद्रवी साइटवर "पिक अप" करू शकता, उदाहरणार्थ, वापरकर्ता प्रवेशासह बँक सर्व्हर. एकदा पीडिताच्या हार्ड ड्राइव्हवर, सिस्टम 32 फोल्डरमध्ये रॅन्समवेअर “सेटल” होते. तेथून प्रोग्राम त्वरित अँटीव्हायरस अक्षम करतो आणि "ऑटोरून" मध्ये जातो" प्रत्येक रीबूट नंतर, ransomware रेजिस्ट्री मध्ये चालते, त्याचे घाणेरडे काम सुरू केले. रॅन्समवेअर रॅन्सम आणि ट्रोजन सारख्या प्रोग्रामच्या समान प्रती डाउनलोड करण्यास सुरवात करतो. असेही अनेकदा घडते ransomware स्व-प्रतिकृती. ही प्रक्रिया क्षणिक असू शकते किंवा पीडित व्यक्तीला काहीतरी चूक झाल्याचे लक्षात येईपर्यंत काही आठवडे लागू शकतात.

रॅन्समवेअर सहसा सामान्य चित्रे किंवा मजकूर फायलींसारखे वेष घेतात, परंतु सार नेहमी सारखाच असतो - .exe, .drv, .xvd या एक्स्टेंशनसह ही एक एक्झिक्यूटेबल फाइल आहे; कधीकधी - libraries.dll. बर्याचदा, फाइलमध्ये पूर्णपणे निरुपद्रवी नाव असते, उदाहरणार्थ " दस्तऐवज. डॉक", किंवा " चित्र.jpg", जेथे विस्तार व्यक्तिचलितपणे लिहिलेला आहे, आणि खरा फाइल प्रकार लपलेला आहे.

एन्क्रिप्शन पूर्ण झाल्यानंतर, वापरकर्त्याला परिचित फायलींऐवजी, नाव आणि आतमध्ये "यादृच्छिक" वर्णांचा संच दिसतो आणि विस्तार आतापर्यंत अज्ञात वर्णांमध्ये बदलतो - .NO_MORE_RANSOM, .xdataआणि इतर.

वाना क्राय रॅन्समवेअर व्हायरस 2017 – स्वतःचे संरक्षण कसे करावे. मी ताबडतोब लक्षात घेऊ इच्छितो की वान्ना क्राय ही सर्व एन्क्रिप्शन आणि रॅन्समवेअर व्हायरससाठी एक सामूहिक संज्ञा आहे, कारण अलीकडेच बहुतेक वेळा संगणकांना संक्रमित केले आहे. तर, आम्ही याबद्दल बोलू Ransom Ware ransomware पासून स्वतःचे रक्षण करा, ज्यापैकी बरेच आहेत: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

रॅन्समवेअरपासून विंडोजचे संरक्षण कसे करावे.EternalBlue SMB पोर्ट प्रोटोकॉलद्वारे.

रॅन्समवेअर 2017 पासून विंडोजचे संरक्षण करणे - मूलभूत नियम:

  • विंडोज अपडेट, परवानाकृत OS वर वेळेवर संक्रमण (टीप: XP आवृत्ती अपडेट केलेली नाही)
  • मागणीनुसार अँटी-व्हायरस डेटाबेस आणि फायरवॉल अद्यतनित करणे
  • कोणत्याही फायली डाउनलोड करताना अत्यंत काळजी घ्या (गोंडस "सील" सर्व डेटा गमावू शकतात)
  • काढता येण्याजोग्या मीडियावर महत्त्वाच्या माहितीचा बॅकअप घेणे.

रॅन्समवेअर व्हायरस 2017: फायली निर्जंतुक आणि डिक्रिप्ट कसे करावे.

अँटीव्हायरस सॉफ्टवेअरवर अवलंबून राहून, आपण काही काळ डिक्रिप्टरबद्दल विसरू शकता. प्रयोगशाळांमध्ये कॅस्परस्की, डॉ. वेब, अवास्ट!आणि आत्तासाठी इतर अँटीव्हायरस संक्रमित फाइल्सवर उपचार करण्यासाठी कोणताही उपाय सापडला नाही. याक्षणी, अँटीव्हायरस वापरुन व्हायरस काढून टाकणे शक्य आहे, परंतु अद्याप सर्वकाही "सामान्य" करण्यासाठी कोणतेही अल्गोरिदम नाहीत.

काहीजण RectorDecryptor युटिलिटी सारखे डिक्रिप्टर्स वापरण्याचा प्रयत्न करतात, परंतु हे मदत करणार नाही: नवीन व्हायरस डिक्रिप्ट करण्यासाठी अल्गोरिदम अद्याप संकलित केले गेले नाही. असे प्रोग्राम वापरल्यानंतर व्हायरस काढून टाकला नाही तर तो कसा वागेल हे देखील पूर्णपणे अज्ञात आहे. बहुतेकदा याचा परिणाम सर्व फायली पुसून टाकला जाऊ शकतो - ज्यांना आक्रमणकर्त्यांना, व्हायरसच्या लेखकांना पैसे द्यायचे नाहीत त्यांना चेतावणी म्हणून.

याक्षणी, गमावलेला डेटा पुनर्प्राप्त करण्याचा सर्वात प्रभावी मार्ग म्हणजे तांत्रिक समर्थनाशी संपर्क साधणे. तुम्ही वापरत असलेल्या अँटीव्हायरस प्रोग्रामच्या विक्रेत्याकडून समर्थन. हे करण्यासाठी, तुम्ही पत्र पाठवावे किंवा निर्मात्याच्या वेबसाइटवर फीडबॅक फॉर्म वापरावा. संलग्नकमध्ये एनक्रिप्टेड फाईल जोडण्याची खात्री करा आणि, उपलब्ध असल्यास, मूळची एक प्रत. हे प्रोग्रामरना अल्गोरिदम तयार करण्यात मदत करेल. दुर्दैवाने, बऱ्याच लोकांसाठी, व्हायरसचा हल्ला संपूर्ण आश्चर्यचकित होतो आणि कोणत्याही प्रती सापडत नाहीत, ज्यामुळे परिस्थिती मोठ्या प्रमाणात गुंतागुंतीची होते.

रॅन्समवेअरपासून विंडोजवर उपचार करण्याच्या कार्डियाक पद्धती. दुर्दैवाने, काहीवेळा आपल्याला हार्ड ड्राइव्ह पूर्णपणे स्वरूपित करण्याचा अवलंब करावा लागतो, ज्यामध्ये ओएसचा संपूर्ण बदल समाविष्ट असतो. बरेच लोक सिस्टम पुनर्संचयित करण्याचा विचार करतील, परंतु हा पर्याय नाही - "रोलबॅक" देखील व्हायरसपासून मुक्त होईल, परंतु फायली अद्याप एनक्रिप्टेड राहतील.

माहिती सुरक्षा सेवेसाठी मे 2017 हा काळा दिवस म्हणून इतिहासाच्या इतिहासात खाली जाईल. या दिवशी, जगाने शिकले की एक सुरक्षित आभासी जग नाजूक आणि असुरक्षित असू शकते. Wanna decryptor किंवा wannacry नावाच्या रॅन्समवेअर व्हायरसने जगभरातील 150 हजारांहून अधिक संगणकांवर कब्जा केला आहे. शंभरहून अधिक देशांमध्ये संसर्गाची प्रकरणे नोंदली गेली आहेत. अर्थात, जागतिक संसर्ग थांबला आहे, परंतु नुकसान लाखोंमध्ये आहे. रॅन्समवेअरच्या लहरी अजूनही काही वैयक्तिक मशीनवर परिणाम करत आहेत, परंतु प्लेग आतापर्यंत समाविष्ट आहे आणि थांबला आहे.

WannaCry - ते काय आहे आणि त्यापासून स्वतःचे संरक्षण कसे करावे

Wanna डिक्रिप्टर व्हायरसच्या गटाशी संबंधित आहे जे संगणकावरील डेटा एन्क्रिप्ट करतात आणि मालकाकडून पैसे उकळतात. सामान्यतः, तुमच्या डेटाची खंडणी $300 ते $600 पर्यंत असते. एका दिवसात, व्हायरसने यूकेमधील रुग्णालयांचे नगरपालिका नेटवर्क, युरोपमधील एक मोठे टेलिव्हिजन नेटवर्क आणि रशियाच्या अंतर्गत व्यवहार मंत्रालयाच्या संगणकाचा भाग देखील संक्रमित करण्यात व्यवस्थापित केले. हा प्रसार मॅन्युअली थांबवण्यासाठी त्याच्या निर्मात्यांनी व्हायरस कोडमध्ये तयार केलेल्या सत्यापन डोमेनची नोंदणी करून परिस्थितीच्या आनंदी योगायोगामुळे त्यांनी ते थांबवले.

व्हायरस संगणकाला इतर बऱ्याच प्रकरणांप्रमाणेच संक्रमित करतो. अक्षरे पाठवणे, सामाजिक प्रोफाइल आणि फक्त सर्फिंग करणे - या पद्धती व्हायरसला तुमच्या सिस्टममध्ये प्रवेश करण्याची आणि तुमचा सर्व डेटा कूटबद्ध करण्याची संधी देतात, परंतु ते सिस्टम भेद्यता आणि ओपन पोर्टद्वारे तुमच्या स्पष्ट कृतींशिवाय आत प्रवेश करू शकतात.

WannaCry पोर्ट 445 द्वारे प्रवेश करते, Windows ऑपरेटिंग सिस्टममधील एक असुरक्षा वापरून, जी अलीकडेच रिलीझ केलेल्या अद्यतनांनी बंद केली होती. त्यामुळे हे पोर्ट तुमच्यासाठी बंद असेल किंवा तुम्ही अलीकडे ऑफिसमधून विंडोज अपडेट केले असेल. साइट, नंतर तुम्हाला संसर्गाची काळजी करण्याची गरज नाही.

व्हायरस खालील योजनेनुसार कार्य करतो: आपल्या फायलींमधील डेटाऐवजी, आपल्याला मंगळाच्या भाषेत न समजण्याजोगे स्क्विगल प्राप्त होतात, परंतु सामान्य संगणक पुन्हा मिळविण्यासाठी, आपल्याला आक्रमणकर्त्यांना पैसे द्यावे लागतील. ज्यांनी हा प्लेग सामान्य लोकांच्या संगणकावर पसरवला ते पैसे देण्यासाठी बिटकॉइन्स वापरतात, त्यामुळे वाईट ट्रोजनच्या मालकांना ओळखणे शक्य होणार नाही. तुम्ही २४ तासांच्या आत पैसे न भरल्यास खंडणीची रक्कम वाढते.

ट्रोजनची नवीन आवृत्ती "मला रडायचे आहे" असे भाषांतरित करते आणि डेटा गमावल्याने काही वापरकर्त्यांना अश्रू येऊ शकतात. त्यामुळे प्रतिबंधात्मक उपाय करणे आणि संसर्ग रोखणे चांगले आहे.

रॅन्समवेअर विंडोजमधील असुरक्षिततेचा फायदा घेते जी मायक्रोसॉटने आधीच निश्चित केली आहे. तुम्हाला फक्त तुमची ऑपरेटिंग सिस्टम 14 मार्च, 2017 रोजीच्या सुरक्षा प्रोटोकॉल MS17-010 वर अपडेट करण्याची आवश्यकता आहे.

तसे, केवळ तेच वापरकर्ते ज्यांच्याकडे परवानाकृत ऑपरेटिंग सिस्टम आहे तेच अपडेट करू शकतात. तुम्ही या लोकांपैकी नसल्यास, फक्त अपडेट पॅकेज डाउनलोड करा आणि ते व्यक्तिचलितपणे स्थापित करा. तुम्हाला फक्त विश्वासार्ह संसाधनांमधून डाउनलोड करणे आवश्यक आहे जेणेकरून प्रतिबंध करण्याऐवजी संसर्ग होऊ नये.

अर्थात, संरक्षण सर्वोच्च पातळीचे असू शकते, परंतु बरेच काही वापरकर्त्यावर अवलंबून असते. तुमच्याकडे ईमेलद्वारे किंवा तुमच्या सोशल प्रोफाइलवर आलेल्या संशयास्पद लिंक्स उघडू नका हे लक्षात ठेवा.

Wanna डिक्रिप्टर व्हायरस कसा बरा करावा

ज्यांचे संगणक आधीच संक्रमित झाले आहेत त्यांनी दीर्घ उपचार प्रक्रियेची तयारी करावी.

व्हायरस वापरकर्त्याच्या संगणकावर चालतो आणि अनेक प्रोग्राम तयार करतो. त्यापैकी एक डेटा एन्क्रिप्ट करण्यास सुरवात करतो, दुसरा रॅन्समवेअरसह संप्रेषण प्रदान करतो. तुमच्या कामाच्या मॉनिटरवर एक शिलालेख दिसतो, जो तुम्हाला समजावून सांगतो की तुम्ही व्हायरसचा बळी झाला आहात आणि पैसे त्वरीत हस्तांतरित करण्याची ऑफर देत आहात. त्याच वेळी, आपण एकच फाईल उघडू शकत नाही आणि विस्तारांमध्ये न समजणारी अक्षरे असतात.

विंडोजमध्ये तयार केलेल्या सेवांचा वापर करून वापरकर्ता डेटा पुनर्प्राप्ती करण्याचा प्रयत्न करणारी पहिली क्रिया आहे. परंतु जेव्हा तुम्ही कमांड चालवता तेव्हा एकतर काहीही होणार नाही किंवा तुमचे प्रयत्न व्यर्थ ठरतील - वान्ना डिक्रिप्टरपासून मुक्त होणे इतके सोपे नाही.

व्हायरस बरा करण्याचा सर्वात सोपा मार्ग म्हणजे सिस्टम पुन्हा स्थापित करणे. या प्रकरणात, आपण केवळ स्थापित सिस्टमसह डिस्कवर असलेला डेटा गमावणार नाही. तथापि, संपूर्ण पुनर्प्राप्तीसाठी, आपल्याला संपूर्ण हार्ड ड्राइव्हचे स्वरूपन करणे आवश्यक आहे. आपण अशी कठोर पावले उचलण्यास तयार नसल्यास, आपण सिस्टम व्यक्तिचलितपणे बरे करण्याचा प्रयत्न करू शकता:

  1. लेखात वर वर्णन केलेले सिस्टम अपडेट डाउनलोड करा.
  2. पुढे, इंटरनेटवरून डिस्कनेक्ट करा
  3. आम्ही cmd कमांड लाइन आणि ब्लॉक पोर्ट 445 लाँच करतो, ज्याद्वारे व्हायरस संगणकात प्रवेश करतो. हे खालील आदेशाने केले जाते:
    netsh advfirewall फायरवॉल जोडा नियम dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
  4. पुढे, आम्ही सिस्टम सुरक्षित मोडमध्ये सुरू करतो. लोड करताना, F8 दाबून ठेवा, सिस्टम स्वतःच तुम्हाला संगणक कसा सुरू करायचा ते विचारेल. आपल्याला "सुरक्षित मोड" निवडण्याची आवश्यकता आहे.
  5. आम्ही व्हायरस असलेले फोल्डर शोधतो आणि हटवतो; तुम्ही व्हायरस शॉर्टकटवर क्लिक करून आणि "फाइल लोकेशन" वर क्लिक करून ते शोधू शकता.
  6. आम्ही सामान्य मोडमध्ये संगणक रीस्टार्ट करतो आणि आम्ही डाउनलोड केलेल्या सिस्टमसाठी अद्यतन स्थापित करतो, इंटरनेट चालू करतो आणि ते स्थापित करतो.

रडायचे आहे - फाइल्स कसे डिक्रिप्ट करायचे

जर तुम्ही व्हायरसच्या सर्व अभिव्यक्तीपासून पूर्णपणे मुक्त झाला असेल, तर डेटा डिक्रिप्ट करणे सुरू करण्याची वेळ आली आहे. आणि जर तुम्हाला वाटत असेल की सर्वात कठीण भाग संपला आहे, तर तुम्ही खूप चुकीचे आहात. इतिहासात अशीही एक घटना आहे जिथे रॅन्समवेअरचे निर्माते स्वत: वापरकर्त्यास मदत करू शकले नाहीत ज्याने त्यांना पैसे दिले आणि त्याला अँटीव्हायरस तांत्रिक समर्थन सेवेकडे पाठवले.

सर्वोत्तम पर्याय म्हणजे सर्व डेटा हटवणे आणि . पण अशी प्रत नसेल तर चकरा माराव्या लागतील. डिक्रिप्शन प्रोग्राम आपल्याला मदत करतील. खरे आहे, कोणताही कार्यक्रम शंभर टक्के निकालाची हमी देऊ शकत नाही.

अनेक साधे प्रोग्राम्स आहेत जे डेटा डिक्रिप्शन हाताळू शकतात - उदाहरणार्थ, शॅडो एक्सप्लोरर किंवा विंडोज डेटा रिकव्हरी. कॅस्परस्की लॅबवर एक नजर टाकणे देखील योग्य आहे, जे अधूनमधून डिक्रिप्टर्स रिलीझ करते - http://support.kaspersky.ru/viruses/utility

खूप महत्वाचे! तुम्ही व्हायरसचे सर्व प्रकटीकरण काढून टाकल्यानंतरच डिक्रिप्टर प्रोग्राम चालवा, अन्यथा तुम्हाला सिस्टमला हानी पोहोचण्याचा किंवा डेटा पुन्हा गमावण्याचा धोका असतो.

कोणत्याही मोठ्या उद्योगाची किंवा अगदी सरकारी एजन्सीची सुरक्षा व्यवस्था किती नाजूक असू शकते हे वान्ना डिक्रिप्टरने दाखवून दिले. त्यामुळे मे महिना अनेक देशांसाठी सूचक ठरला आहे. तसे, रशियन अंतर्गत व्यवहार मंत्रालयामध्ये फक्त त्या मशीनवर परिणाम झाला ज्याने विंडोज वापरला होता, परंतु ज्या संगणकांवर रशियन-विकसित एल्ब्रस ऑपरेटिंग सिस्टम स्थापित केली गेली होती त्या संगणकांवर परिणाम झाला नाही.

वॉना डिक्रिप्टरने तुम्हाला कोणत्या उपचार पद्धतींमध्ये मदत केली? या लेखावर टिप्पणी लिहा आणि इतरांसह सामायिक करा.

नवीन लेखांची सदस्यता घ्या जेणेकरून तुम्ही चुकणार नाही!

WannaCry व्हायरस हा एक रॅन्समवेअर प्रोग्राम आहे जो मायक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम चालवणाऱ्या संगणकांना संक्रमित करण्यासाठी EternalBlue शोषणाचा वापर करतो. रॅन्समवेअरला WannaCrypt0r, WannaCryptor, WCry आणि Wana Decrypt0r म्हणूनही ओळखले जाते. एकदा ते लक्ष्यित संगणकावर आदळल्यानंतर, ते सर्व फायली द्रुतपणे कूटबद्ध करते आणि त्यांना खालीलपैकी एका विस्तारासह टॅग करते: .wcry, .wncrytआणि .wncry.

व्हायरस सशक्त एन्क्रिप्शन वापरून डेटा निरुपयोगी रेंडर करतो, डेस्कटॉप वॉलपेपर बदलतो, खंडणी नोट तयार करतो “कृपया मी वाचतो!.txt” आणि नंतर “WannaDecrypt0r” नावाची प्रोग्राम विंडो लाँच करतो जी संगणकावरील फायली एनक्रिप्ट केल्या गेल्याचा अहवाल देते. मालवेअर पीडित व्यक्तीला बिटकॉइनमध्ये $300 ते $600 ची खंडणी देण्यासाठी कॉल करतो आणि पीडितेने 7 दिवसांच्या आत पैसे न दिल्यास सर्व फायली हटविण्याचे आश्वासन दिले.

एनक्रिप्टेड डेटाची पुनर्प्राप्ती टाळण्यासाठी मालवेअर सावलीच्या प्रती हटवते. याव्यतिरिक्त, रॅन्समवेअर एका किड्यासारखे कार्य करते कारण एकदा ते लक्ष्यित संगणकावर उतरले की ते इतर संगणकांना संक्रमित करण्यासाठी शोधू लागते.

जरी व्हायरसने पैसे दिल्यानंतर आपल्या फायली पुनर्संचयित करण्याचे आश्वासन दिले असले तरी, गुन्हेगारांवर विश्वास ठेवण्याचे कोणतेही कारण नाही. साइट टीमने नेटवर्क ड्रायव्हर्स वापरून सुरक्षित मोडमध्ये रॅन्समवेअर काढून टाकण्याची शिफारस केली आहे, जसे की अँटी-मालवेअर प्रोग्राम वापरून.

सायबर गुन्हेगारांनी या रॅन्समवेअरचा वापर शुक्रवारी 12 मे 2017 रोजी झालेल्या मोठ्या सायबर हल्ल्यात केला. अलीकडील अहवालांनुसार, दुर्भावनापूर्ण हल्ल्याने 150 हून अधिक देशांमध्ये 230,000 हून अधिक संगणकांवर यशस्वीरित्या परिणाम केला.

सायबर हल्ल्याचा परिणाम भयंकर आहे कारण विषाणू विविध क्षेत्रातील संस्थांना लक्ष्य करतो, आरोग्यसेवेला सर्वात जास्त फटका बसल्याचे दिसते. या हल्ल्यामुळे रुग्णालयातील विविध सेवा बंद करण्यात आल्या असून शेकडो शस्त्रक्रिया रद्द करण्यात आल्या आहेत. वृत्तानुसार, टेलीफोनिका, गॅस नॅचरल आणि इबरड्रोला या खरेदीचा फटका बसलेल्या पहिल्या मोठ्या कंपन्या होत्या.

काही प्रभावित कंपन्यांनी डेटा बॅकअप घेतला होता, तर इतरांना दुःखद परिणामांना सामोरे जावे लागले. अपवाद न करता, सर्व पीडितांना शक्य तितक्या लवकर WannaCry काढून टाकण्याचा सल्ला दिला जातो, कारण यामुळे रॅन्समवेअरचा आणखी प्रसार होण्यापासून रोखता येईल.

EternalBlue exploit वापरून WannaCry पसरते

WannaCry ransomware चे मुख्य संसर्ग वेक्टर EternalBlue exploit आहे, जे यूएस नॅशनल सिक्युरिटी एजन्सी (NSA) कडून चोरलेले सायबर स्पायवेअर आहे आणि छाया ब्रोकर्स म्हणून ओळखल्या जाणाऱ्या हॅकर्सच्या गटाने ऑनलाइन प्रकाशित केले आहे.

EternalBlue हल्ला Microsoft SMB (सर्व्हर मेसेज ब्लॉक) प्रोटोकॉलमधील Windows CVE-2017-0145 भेद्यतेला लक्ष्य करतो. मायक्रोसॉफ्ट सिक्युरिटी बुलेटिन MS17-010 (मे 14, 2017 रोजी प्रसिद्ध) नुसार, असुरक्षा आता पॅच केली गेली आहे. एक्झिक्युटर्सनी वापरलेला एक्स्प्लॉयट कोड लेगेसी Windows 7 आणि Windows Server 2008 सिस्टीमला बाधित करण्याच्या उद्देशाने होता, परंतु Windows 10 वापरकर्ते कदाचित व्हायरसने प्रभावित होणार नाहीत.

मालवेअर सहसा ट्रोजन ड्रॉपरच्या स्वरूपात येतो ज्यामध्ये शोषणांचा एक संच असतो आणि स्वतःच रॅन्समवेअर असतो. ड्रॉपर नंतर संगणकावर रॅन्समवेअर डाउनलोड करण्यासाठी रिमोट सर्व्हरपैकी एकाशी कनेक्ट करण्याचा प्रयत्न करतो. WannaCry च्या नवीनतम आवृत्त्या APAC प्रदेशात girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 द्वारे वितरित केल्या जातात. ज्यांना रॅन्समवेअर वितरणाविषयी माहिती नाही अशा कोणालाही रॅन्समवेअर प्रभावित करू शकते, म्हणून आम्ही आमच्या तज्ञांनी तयार केलेले WannaCry रॅन्समवेअर रोखण्यासाठी हे मार्गदर्शक वाचण्याची शिफारस करतो:

  1. Microsoft द्वारे नुकतेच जारी केलेले सिस्टम सुरक्षा अपडेट MS17-010 स्थापित करा, जे ransomware द्वारे शोषण केलेल्या भेद्यतेचे निराकरण करेल. अद्यतने केवळ Windows XP किंवा Windows 2003 सारख्या जुन्या ऑपरेटिंग सिस्टिमसाठी रिलीझ करण्यात आली.
  2. इतर संगणक प्रोग्रामच्या अद्यतनांसाठी संपर्कात रहा.
  3. तुमच्या सिस्टमला मालवेअरने संक्रमित करण्याच्या बेकायदेशीर प्रयत्नांपासून तुमच्या संगणकाचे संरक्षण करण्यासाठी विश्वसनीय अँटीव्हायरस टूल इंस्टॉल करा.
  4. अनोळखी व्यक्तींकडून आलेले ईमेल कधीही उघडू नका किंवा ज्या कंपन्यांसोबत तुम्ही व्यवसाय करत नाही.
  5. Microsoft द्वारे प्रदान केलेल्या सूचना वापरून SMBv1 अक्षम करा.

संशोधक WannaCry हल्ल्यादरम्यान घेतलेले स्क्रीनशॉट दाखवतो. तुम्ही Wanna Decrypt0r विंडो तसेच WannaCry ने तुमची डेस्कटॉप पार्श्वभूमी म्हणून सेट केलेली प्रतिमा सिस्टीमला संक्रमित केल्यानंतर आणि त्यावरील सर्व फाइल्स एन्क्रिप्ट केल्यानंतर पाहू शकता.
पद्धत 1. (सुरक्षित मोड)
"नेटवर्किंगसह सुरक्षित मोड" निवडा पद्धत 1. (सुरक्षित मोड)
"नेटवर्किंगसह सुरक्षित मोड सक्षम करा" निवडा

"कमांड प्रॉम्प्टसह सुरक्षित मोड" निवडा पद्धत 2. (सिस्टम पुनर्संचयित)
"कमांड प्रॉम्प्टसह सुरक्षित मोड सक्षम करा" निवडा
पद्धत 2. (सिस्टम पुनर्संचयित)
कोट्सशिवाय "cd restore" टाइप करा आणि "एंटर" दाबा.
पद्धत 2. (सिस्टम पुनर्संचयित)
कोट्सशिवाय "rstrui.exe" टाइप करा आणि "एंटर" दाबा
पद्धत 2. (सिस्टम पुनर्संचयित)
दिसत असलेल्या "सिस्टम रीस्टोर" विंडोमध्ये, "पुढील" निवडा.
पद्धत 2. (सिस्टम पुनर्संचयित)
तुमचा पुनर्संचयित बिंदू निवडा आणि "पुढील" क्लिक करा
पद्धत 2. (सिस्टम पुनर्संचयित)
"होय" वर क्लिक करा आणि सिस्टम रिकव्हरी सुरू करा ⇦ ⇨

स्लाइड करा 1 पासून 10

WannaCry आवृत्त्या

फायली सुरक्षितपणे लॉक करण्यासाठी व्हायरस AES-128 क्रिप्टोग्राफिक सायफरचा वापर करतो, त्यांच्या नावांमध्ये फाइल विस्तार .wcry जोडतो आणि प्रदान केलेल्या व्हर्च्युअल वॉलेटमध्ये 0.1 बिटकॉइन हस्तांतरित करण्यास सांगतो. मालवेअर सुरुवातीला स्पॅम ईमेलद्वारे वितरित केले गेले; तथापि, या विशिष्ट व्हायरसने त्याच्या विकसकांना जास्त उत्पन्न दिले नाही. या रॅन्समवेअरद्वारे एन्क्रिप्ट केलेल्या फायली डिक्रिप्शन कीशिवाय पुनर्प्राप्त करण्यायोग्य नसल्या तरीही, विकसकांनी दुर्भावनापूर्ण प्रोग्राम अद्यतनित करण्याचा निर्णय घेतला.

WannaCrypt0r रॅन्समवेअर व्हायरस. रॅन्समवेअरच्या अद्ययावत आवृत्तीचे हे दुसरे नाव आहे. नवीन आवृत्ती मुख्य आक्रमण वेक्टर म्हणून विंडोजच्या असुरक्षा लक्ष्य करते आणि सिस्टमवर संचयित केलेल्या सर्व फायली काही सेकंदात कूटबद्ध करते. मूळ फाइल नाव - .wncry, wncryt किंवा .wcry - फाईलच्या नावात त्वरित जोडलेल्या विस्तारांद्वारे संक्रमित फाइल्स ओळखल्या जाऊ शकतात.

डेटा एन्क्रिप्शन प्रक्रियेदरम्यान बॅकअप किंवा खाजगी की तयार केल्याशिवाय खराब झालेला डेटा पुनर्प्राप्त करण्याचा कोणताही मार्ग नाही. व्हायरस सामान्यत: $300 ची मागणी करतो, जरी तो खंडणीची किंमत $600 पर्यंत वाढवतो जर पीडिताने तीन दिवसात पैसे दिले नाहीत.

रॅन्समवेअर व्हायरस WannaDecrypt0r. WannaDecrypt0r हा एक प्रोग्राम आहे जो टार्गेट सिस्टममध्ये यशस्वीरित्या घुसल्यानंतर व्हायरस चालतो. संशोधकांनी आधीच Wanna Decryptor 1.0 आणि Wanna Decryptor 2.0 च्या आवृत्त्या पीडितांच्या जवळ येत असल्याचे लक्षात घेतले आहे.

मालवेअर एक काउंटडाउन घड्याळ दाखवते जे त्याची किंमत कमाल पोहोचण्यापूर्वी खंडणी भरण्यासाठी किती वेळ शिल्लक आहे हे दर्शविते, तसेच व्हायरसने संगणकावरून सर्व डेटा हटवण्यापर्यंत किती वेळ शिल्लक आहे हे दाखवणारे एकसारखे काउंटडाउन घड्याळ दाखवते. या आवृत्तीने 12 मे 2017 रोजी आभासी समुदायाला धक्का दिला, जरी काही दिवसांनंतर ते MalwareTech नावाच्या सुरक्षा संशोधकाने थांबवले.



आम्ही वाचण्याची शिफारस करतो