Интернет

Обновление виндовс от вируса шифровальщика. Эпидемия шифровальщика WannaCry: что произошло и как защититься.

03.07.2019

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о , относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным « Лаборатории Касперского» , наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы .

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.


Вирус « владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

  • наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
  • некоторые менее популярные типы документов (.sxw, .odt, .hwp).
  • архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
  • базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
  • ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

Как вы знаете, сейчас идет массовая атака на компьютеры по всему миру. Если вы работаете на Windows - вы находитесь в потенциальной группе риска. Но не паникуйте и не пытайтесь перезагрузить компьютер! Лучше сохраните важные данные на внешний диск или в облако, пока все работает. И идите отдыхать. Если потом обнаружится, что ваш компьютер все-таки заражен, вы просто переустановите систему и восстановите данные из бэкапа.

В этом посте я соберу советы от специалистов о том, как защититься от вируса Wana Decrypt0r. Пост будет обновляться.

Рекомендации по лечению:

Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM: Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

Атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)», - отметил представитель компании.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», - подчеркнул представитель «Лаборатории Касперского».

Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.
Это вирус-шифровальщик. Такие вирусы достаточно популярны, и хакеры прибегают к ним не впервые. Используя криптографию шифрования, вирус зашифровывает файлы на зараженном компьютере. На каждом устройстве он использует уникальный секретный ключ, который сам генерирует. Другими словами, даже расшифровав его на одном компьютере, вы будете заново расшифровывать его на другом.

Как с этим бороться?

1. Делайте резервные копии. Если у вас есть резервная копия, это вирус вам не страшен, даже если он к вам попал.
2. Всегда будьте в курсе новостей информационной безопасности. Необходимо следить за такими информационными блогами, как Security Lab, Dark Reading и другими.
3. Этот вирус использует конкретные уязвимости, которые сейчас описаны в Интернете, нужно проверить свои сети на наличие этих уязвимостей. Не открывать файл от людей, которых вы не знаете. В основном письма шифровальщиков присылаются под видом писем от бухгалтерий, либо неоплаченных штрафов от ГИБДД.

Как показал анализ,

  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan.Win64.EquationDrug.gen
  • Мониторинг системы должен быть включен)
  • Защита от сетевых атак должен быть включен).

отчете «Лаборатории Касперского» .

Как вылечить зараженную сеть, если установлено решение «Лаборатории Касперского»

  1. Убедитесь, что компонент Мониторинг cистемы и все его модули включены:
  1. Мониторинг системы , смотрите инструкцию в статье .
  1. Защита от сетевых атак .
  2. Убедитесь, что включен компонент Файловый антивирус .
  3. Запустите задачу Проверка важных областей
  4. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. статьи
  5. Запустите задачу Проверка важных областей , чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. Запустите задачу Проверка важных областей , чтобы обнаружить возможное заражение как можно раньше.
  5. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  6. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  7. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус .
  4. Убедитесь, что включен компонент Анти-Хакер .
  5. Запустите задачу Полная проверка , чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.

Как вылечить зараженную сеть, если установлено стороннее защитное решение

Воспользуйтесь бесплатными программами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.

Локальное выполнение:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Запустите задачу сканирования в Kaspersky Virus Removal Tool. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье .
  4. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  5. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  6. Подключите хост к сети.

Удаленное выполнение:

  1. Установите официальный патч от Microsoft:
  2. Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
  3. Выполните запуск утилиты на удаленном хосте (через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла) командой:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. share - имя общедоступной папки.
  2. После выполнения данной команды на удаленном хосте будет выполнена проверка БЕЗ лечения и создан лог работы в каталоге \\share\logs\
  1. Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Если вы не знаете, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье .
  1. Запустите задачу сканирования. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье .
  2. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  3. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  4. Подключите хост к сети.

Как избежать заражения сети

Kaspersky Endpoint Security 8/10:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что компонент Мониторинг системы и все его модули включены:
  1. Если вы не знаете, как включить Мониторинг системы , смотрите инструкцию в статье .
  1. Убедитесь, что включен компонент Защита от сетевых атак .
  2. Убедитесь, что включен компонент Файловый антивирус .
  3. статье .

Kaspersky Security 10 для Windows Server:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что включен компонент Постоянная защита файлов .
  3. Настройте продукт согласно рекомендациям из статьи - данные рекомендации позволят защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
  4. Обновите антивирусные базы.

Антивирус 8.0 для Windows Servers EE:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. Обновите антивирусные базы. Если вы не знаете, как обновить базы, смотрите инструкцию в статье .

Антивирус Касперского 6.0 R2 для Windows Workstations:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус .
  4. Убедитесь, что включен компонент Анти-Хакер .
  5. Обновите антивирусные базы.

Как распространить обновления от Microsoft с помощью Kaspersky Security Center

Для распространения обновлений от Microsoft с помощью Kaspersky Security Center воспользуйтесь одним из методов:

Основной метод

  1. Загрузите необходимые обновления с ресурсов Microsoft:
  2. Создайте на локальном диске временный каталог и поместите туда загруженные файлы (MSU).
  3. Во временном каталоге создайте BAT-файл и пропишите в нем команду вида:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

    updatename - имя файла обновления.

    Пример команды:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

  1. Данная команда предписывает провести установку обновления, не показывая процесс пользователю, но потом выводит запрос на перезагрузку и дает около минуты на сохранение открытых файлов (отказаться от перезагрузки нельзя).
    Если прописать forcerestart вместо warnrestart - то ПК будет незамедлительно перезагружен, а открытые приложения - закрыты с потерей данных.

    2. В итоге во временном каталоге должен быть BAT-файл и необходимые файлы MSU.

Eсли команду запустить на ПК, где обновление уже установлено или оно не подходит - последствий не будет.

  1. В Kaspersky Security Center перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем .
  1. Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл, при этом обязательно установите флажок копировать всю папку в инсталляционный пакет - чтобы MSU-файлы были включены в пакет.

В BAT-файле вы можете указать установку нескольких обновлений и поместить их все во временный каталог, но размер установочного пакета увеличится.

  1. Созданный пакет установите на ПК. Это можно сделать из выборки ПК по типу ОС (в контекстном меню любой группы ПК выберите Установить программу ), можно создать задачу для группы ПК (в Управляемые ПК выберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке), либо другим привычным вам способом.
    Пакет также можно установить локально.

Альтернативный метод

Условия работы:

  1. Наличие расширенной лицензии на продукт.
  2. Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft . Подробнее о задаче смотрите в статье .

Выполнение:

  1. Перейдите в раздел Дополнительно Управление программами Обновление .
  2. В строке поиска найдите необходимое обновление Microsoft.
  3. В контекстном меню обновления выберите Установить обновление .
  4. Выполните установку на необходимые хосты.

Как безопасно включить хосты, если обновления от Microsoft не установлены

Для безопасного включения компьютеров:

  1. Отключите компьютер от сети организации (отключите сетевой кабель).
  2. В настройках сервисов отключите службу Сервер : в выпадающем списке Тип запуска выберите Отключена .

  1. Подключите сетевой шнур и обновите ОС со всеми перезагрузками.

Убедитесь, что система больше не предлагает установить обновления.

  1. Включите службу Сервер .
  2. Убедитесь, что в Kaspersky Endpoint Security включены компоненты:
    • Файловый антивирус .
    • Мониторинг системы .
    • Защита от сетевых атак .

Была ли информация полезна?

Общие статьи: Общие статьи

Мы проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая 2017 года столкнулись компании по всему миру.

Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010 . Затем на зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (для детектирования компонент Мониторинг системы должен быть включен)
  • Intrusion.Win.DoublePulsar.a (для детектирования компонент Защита от сетевых атак должен быть включен).
  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что включены защитные решения на всех узлах сети.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

Наши эксперты анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

Более подробную информацию об атаках «WannaCry» вы можете найти в

12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

Свыше 40 тысяч взломов в 74 странах – интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.

Wanna Cry как защититься и как распространяется

Официальные патчи от Microsoft для защиты от вируса Wanna Cry:

  • Windows 7 32bit / x64
  • Windows 10 32bit /x64
  • Windows XP 32 bit /x64 – патча от WCry нет.

Как защититься от вируса Wanna Cry

Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.

Как распространяется Wanna Cry

Распространяется Wanna Cry:

  • через файлы
  • почтовые сообщения.

Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».

Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:

@[email protected], зашифрованы файлы, расширение WNCRY. Требуется утилита и инструкция по дешифровке.
WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя.WCRY в конце названия файла:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx
Атака WannaCry по всему миру
Атаки зафиксированы в более 100 стран. Россия, Украина и Индия испытывают наибольшие проблемы. Сообщения о заражении вирусом поступают из Великобритании, США, Китая, Испании, Италии. Отмечается, что атака хакеров затронула больницы и телекоммуникационные компании по всему миру. В интернете доступна интерактивная карта распространения угрозы WannaCrypt.


ак происходит заражение

WannaCry (WanaDecryptor): Технические детали заражения
Как рассказывают пользователи, вирус попадает на их компьютеры без каких-либо действий с их стороны и бесконтрольно распространяется в сетях. На форуме “Лаборатории Касперского” указывают, что даже включенный антивирус не гарантирует безопасности.

Сообщается, что атака шифровальщика WannaCry (Wana Decryptor) происходит через уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик. Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen.

Предположительно заражение произошло несколькими днями ранее, однако вирус проявил себя только после того, как зашифровал все файлы на компьютере.

Как удалить WanaDecryptor

Вы сможете удалить угрозу с помощью антивируса, большинство антивирусных программ уже обнаруживают угрозу. Распространенные определения:

Avast Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry
Если вы уже запустили угрозу на компьютере и ваши файлы были зашифрованы, расшифровка файлов практически невозможна, так как при эксплуатации уязвимости запускается сетевой шифратор. Однако, уже доступно несколько вариантов инструментов дешифрования:

Инструменты дешифрования WannaCry (WanaDecryptor)

Примечание: Если ваши файлы были зашифрованы, а резервная копия отсутствует, и существующие инструменты дешифрования не помогли, то рекомендуется сохранить зашифрованные файлы перед тем как выполнить очистку угрозы на компьютере. Они пригодятся, если в будущем будет создан работающий у вас инструмент дешифрования.

Microsoft: Установите обновления Windows

Microsoft заявила, что пользователи с бесплатным антивирусом компании и включенной функцией обновления системы Windows будут защищены от атак WannaCryptor.

Обновления от 14 марта закрывают уязвимость систем, через которую распространяется троян-вымогатель. Сегодня было добавлено обнаружение в антивирусные базы Microsoft Security Essentials / Защитника Windows для защиты от новой вредоносной программы известной как Ransom:Win32.WannaCrypt.

Убедитесь, что антивирус включен и установлены последние обновления.
Установите бесплатный антивирус, если на компьютере нет никакой защиты.
Установите последние обновления системы в Центре обновления Windows:
Для Windows 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите “Поиск обновлений”.
Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите “Проверка наличия обновлений”..
Если вы устанавливаете обновления вручную, установите официальный патч MS17-010 от Microsoft, который закрывает уязвимость сервера SMB, используемую в атаке шифровальщика WanaDecryptor.
Если в вашем антивирусе есть защита от шифровальщиков, включите ее. На нашем сайте также есть отдельный раздел Защита от шифровальщиков, где вы можете скачать бесплатные инструменты.
Выполните антивирусное сканирование системы.
Как закрыть порт 445

Эксперты отмечают, что самый простой способ обезопасить себя от атаки - это закрыть порт 445.

Как закрыть порт 445


Введите sc stop lanmanserver и нажмите Enter
Введите для Windows 10: sc config lanmanserver start=disabled, для других версий Windows: sc config lanmanserver start= disabled и нажмите Enter
Перезагрузите компьютер
В командной строке введите netstat -n -a | findstr “LISTENING” | findstr “:445″, чтобы убедиться, что порт отключен. Если будут пустые строчки, порт не прослушивается.
Как закрыть порт 445

При необходимости открыть порт обратно:

Запустите Командную строку (cmd.exe) от имени администратора
Введите для Windows 10: sc config lanmanserver start=auto, для других версий Windows: sc config lanmanserver start= auto и нажмите Enter
Перезагрузите компьютер
Примечание: Порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.

Лечение от Wanna Cryptor

Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство

Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).

Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.

Рассказываем, что прямо сейчас надо сделать для избежания заражения.

1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:

Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить

2. Даже если система не была обновлена и WannaCry попал на компьютер - и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации .

5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус - скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.

Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r , основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

Но все же основным именем является Wana Decrypt0r , хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor .

И последним именем, под которым часто называют этот вирус-шифровальщик пользователи - это WNCRY вирус , то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.

Вирус Wanna Cry: Как распространяется

Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.

Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.

Вирус Wanna Cry: описание вируса

Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:

Популярные файлы Microsoft Office (.xlsx, передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.

Источники:

Вирус Wanna Cry – новый вид хакерской атаки, вредоносная программа-вымогатель заставил содрогнуться пользователей ПК и Интернета по всему миру. Как работает вирус Wanna Cry, можно ли от него защититься, и если можно, то – как?

Вирус Wanna Cry, описание – вид вредоносного ПО, относящееся к категории RansomWare , программа-вымогатель. При попадании на жесткий диск жертвы, Wanna Cry действует по сценарию своих «коллег», таких как TrojanRansom.Win32.zip , шифруя все персональные данные всех известных расширений. При попытке просмотра файла пользователь видит на экране требование заплатить n-ную сумму денег, якобы после этого злоумышленник вышлет инструкцию по разблокировке.

Зачастую вымогательство денег осуществляется с помощью СМС-пополнения специально созданного счета, но в последнее время для этого используется сервис анонимных платежей BitCoin .

Вирус Wanna Cry – как работает. Wanna Cry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует для проникновения «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. На данный момент доподлинно неизвестно, как хакеры обнаружили уязвимость MS17-010. Бытует версия о диверсии производителей противовирусного ПО для поддержания спроса, но, конечно, никто не списывает со счетов интеллект самих хакеров.


Как это ни печально, распространение вируса Wanna Cry осуществляется простейшим способом – через электронную почту. Открыв письмо со спамом, запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.

Вирус Wanna Cry – как защититься, лечение. WanaCrypt0r 2.0 использует при атаке уязвимости в сетевых службах Windows. Известно, что Microsoft уже выпустила «заплатку» - достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows – при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии.

Защититься от Wanna Cry можно, соблюдая несколько простых правил:

вовремя осуществлять обновление системы –все зараженные ПК не были обновлены

пользоваться лицензионной ОС

не открывать сомнительные электронные письма

Как сообщают СМИ, производители антивирусного ПО будут выпускать обновления для борьбы с Wanna Cry, так что обновление антивируса также не стоит откладывать в долгий ящик.