Тверские компании и домашние пользователи были атакованы шифровальщиком Wana Decrypt0r. Как сообщает тверская кибердружина, в основном пострадали крупные компании города.
В основном, подобное вредоносное программное обеспечение можно получить по электронной почте или пользователь рискует случайно скачать его. Например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом распространения остается электронная почта.
Потенциальная жертва может получить обычный вордовский документ, в котором может содержаться замаскированный вирус, даже при отключенных макросах. Проникнув в систему, начинается сканирование файловой системы компьютера и выполняет шифрацию файлов. К шифрованным файлам добавляется расширение ".WNCRY". Затем начинает вымогать денежные средства для получения ключа расшифровки файлов. Денежные средства должны перечисляться в биткоинах.
Ведущий специалист-эксперт тверской кибердружины Сергей Большаков рассказал, как защититься от подобного рода вымогателей. Для этого необходимо установить на компьютер, работающий под управлением операционных систем Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016 обновление MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), которое было выпущено компанией Microsoft еще в марте 2017 года.
После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов стоит загрузить последнюю версию и включить компонент Мониторинг системы.
Затем нужно проверить систему: в случае обнаружения вредоносных приложений (MEM: Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что обновление MS17-010 установлено.
Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0. Для этого необходимо включить безопасный режим с загрузкой сетевых драйверов. (В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8.) Также в сети есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами.
Последний шаг — это восстановление зашифрованных файлов, которое следует выполнять только после удаления вируса-шифровальщика. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (http://www.shadowexplorer.com/downloads.html) (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com/windows-data-recovery-professional.php). Эти способы не гарантируют полного восстановления файлов.
Так же Сергей Большаков отметил, что тверские компании проявляют халатность, по отношению к информационной безопасности своих информационных систем и необходимо своевременно проводить апдейты, чтобы избежать подобного.