22 Ноября 24, 16:09
Новости, Общество
13 Мая 2017, 15:09

Тверские компании атаковал вирус-вымогатель Wana Decrypt0r 2.0

Тверские компании и домашние пользователи были атакованы шифровальщиком Wana Decrypt0r. Как сообщает тверская кибердружина, в основном пострадали крупные компании города.

В основном, подобное вредоносное программное обеспечение можно получить по электронной почте или пользователь рискует случайно скачать его. Например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом распространения остается электронная почта.

Потенциальная жертва может получить обычный вордовский документ, в котором может содержаться замаскированный вирус, даже при отключенных макросах. Проникнув в систему, начинается сканирование файловой системы компьютера и выполняет шифрацию файлов. К шифрованным файлам добавляется расширение ".WNCRY". Затем начинает вымогать денежные средства для получения ключа расшифровки файлов. Денежные средства должны перечисляться в биткоинах.

Ведущий специалист-эксперт тверской кибердружины Сергей Большаков рассказал, как защититься от подобного рода вымогателей. Для этого необходимо установить на компьютер, работающий под управлением операционных систем Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016 обновление MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), которое было выпущено компанией Microsoft еще в марте 2017 года.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов стоит загрузить последнюю версию и включить компонент Мониторинг системы.

Затем нужно проверить систему: в случае обнаружения вредоносных приложений (MEM: Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что обновление MS17-010 установлено.

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0. Для этого необходимо включить безопасный режим с загрузкой сетевых драйверов. (В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8.) Также в сети есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами.

Последний шаг — это восстановление зашифрованных файлов, которое следует выполнять только после удаления вируса-шифровальщика. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (http://www.shadowexplorer.com/downloads.html) (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com/windows-data-recovery-professional.php). Эти способы не гарантируют полного восстановления файлов.

Так же Сергей Большаков отметил, что тверские компании проявляют халатность, по отношению к информационной безопасности своих информационных систем и необходимо своевременно проводить апдейты, чтобы избежать подобного.

Подпишись на наш Telegram-канал
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter Мы на связи WhatsApp +79201501000
вверх