Тверские компании атаковал вирус-вымогатель Wana Decrypt0r 2.0

TIA, 13 Мая 2017, 15:09
, 30

Тверские компании и домашние пользователи были атакованы шифровальщиком Wana Decrypt0r. Как сообщает тверская кибердружина, в основном пострадали крупные компании города.

В основном, подобное вредоносное программное обеспечение можно получить по электронной почте или пользователь рискует случайно скачать его. Например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом распространения остается электронная почта.

Потенциальная жертва может получить обычный вордовский документ, в котором может содержаться замаскированный вирус, даже при отключенных макросах. Проникнув в систему, начинается сканирование файловой системы компьютера и выполняет шифрацию файлов. К шифрованным файлам добавляется расширение «.WNCRY». Затем начинает вымогать денежные средства для получения ключа расшифровки файлов. Денежные средства должны перечисляться в биткоинах.

Ведущий специалист-эксперт тверской кибердружины Сергей Большаков рассказал, как защититься от подобного рода вымогателей. Для этого необходимо установить на компьютер, работающий под управлением операционных систем Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016 обновление MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), которое было выпущено компанией Microsoft еще в марте 2017 года.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов стоит загрузить последнюю версию и включить компонент Мониторинг системы.

Затем нужно проверить систему: в случае обнаружения вредоносных приложений (MEM: Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что обновление MS17-010 установлено.

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0. Для этого необходимо включить безопасный режим с загрузкой сетевых драйверов. (В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8.) Также в сети есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами.

Последний шаг — это восстановление зашифрованных файлов, которое следует выполнять только после удаления вируса-шифровальщика. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (http://www.shadowexplorer.com/downloads.html) (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com/windows-data-recovery-professional.php). Эти способы не гарантируют полного восстановления файлов.

Так же Сергей Большаков отметил, что тверские компании проявляют халатность, по отношению к информационной безопасности своих информационных систем и необходимо своевременно проводить апдейты, чтобы избежать подобного.

Комментарии (30)


  • 15:31 13 Мая 2017
    11 0
    эммм... а при чем здесь вложение в электронную почту и торренты? вирус лезет через открытый порт благодаря дырке в SMB (т.е. достаточно просто подключить компьютер с уязвимостью к интернету), а во-вторых, активацию вируса на вновь зараженных компьютерах уже приостановили используя инструментарий самого шифровальщика.

    П.С. предложение использовать Shadow Explorer для восстановления теневых копий, с удаления которых начинает свою работу вирус - гениально!

    П.П.С. если вирусня попала в сеть, то он распролзается и по машинам с более старыми системами. Для них мелкософт оперативно выпустил патч https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    • 15:35 13 Мая 2017
      5 3
      Эту штуку 95% пользователей ловят при скачивании документов с почты от неизвестного адресата
      Вывод: смотри от кого приходят письма!

      • 17:36 13 Мая 2017
        5 3
        Ты дурак? тебеж только что объяснили, компьютер заражается шифровальщиком без твоего участия вообще, достаточно просто включить компьютер, шифровальщик сам найдёт тебя и взломав компьютер зашифрует файлы.

        • 11:42 14 Мая 2017
          0 1
          Хамло - с пионерами по возрасту так общайся

      • 15:59 14 Мая 2017
        0 1
        Если без хамства - вы оба и правы и неправы. Шифровальщик - это не только ванна, тысячи их. Действительно, были весьма любопытные криптлокеры, которые распространялись через почтовые файлы.
        https://xakep.ru/2017/01/12/spora-ransomware/
        http://www.spyware-ru.com/virus-shifrovalshhik-locky-ispolzuet-novoe-rasshirenie-shit/
        Я с похожим столкнулся, причем интересным образом. Человек получил письмо с аттачем от своего постоянного бизнес-партнера. Вот только их бизнес начинался с 90-х и человек имел опыт хождения с пистолетом, когда патрон в патроннике. Поэтому обратил внимание на время письма - 5 утра. Не стал отрывать аттач, а сначала позвонил партнеру. Естественно, никакого письма тот не посылал.

    • 15:51 13 Мая 2017
      3 0
      "активацию вируса на вновь зараженных компьютерах уже приостановили используя инструментарий самого шифровальщика"
      Это пока новое доменное имя в новой версии трояна не появилось...

  • 15:36 13 Мая 2017
    3 2
    Вяленький пиар беспонтовой квази-организации.

  • 15:37 13 Мая 2017
    3 2
    Ну что, трудно было ожидать другого от кибердружинника. Не мешки ворочать. Насчет восстановления из теневых копий - http://www.pandasecurity.com/mediacenter/news/tales-ransomwhere-shadow-copies/
    Если вкратце - не поможет.

  • 16:05 13 Мая 2017
    6 2
    ИМХО, на ТИА только один вирус (но не вымогатель) это добрый крот.

  • 16:35 13 Мая 2017
    2 0
    Схватили в прошлом году на рабочий сервак, почти все файлы шифронулись... предложений не было, сами искали дешифровальщиков. Цены и отсутствие гарантии на результат заставили забить и забыть...

    • 16:41 13 Мая 2017
      1 9
      Антивирусник надо было нормальный ставить, хотя и он помогает только на 96..98%.......

      • 20:06 13 Мая 2017
        1 0
        Вам прямая дорога в кибердружинники.

      • Alx
        00:20 14 Мая 2017
        0 0
        Антивирусник не помогает никак. У меня у знакомой с лицензионным Касперским за месяц два раза диск зашифровало. В битве меча и щита всегда победит меч.

    • 17:14 13 Мая 2017
      2 2
      админа хоть поменяли?

      • 18:22 13 Мая 2017
        0 0
        Админа в штате нет, поменяли обслуживающих наемников...

        • 20:05 13 Мая 2017
          1 0
          К сожалению, сложно выявить халтуру в "несвоей" области. В первые эпидемии шифровальщиков на такое насмотрелся. Шары с базами 1с в сеть смотрят, без пароля и с полными правами для гостевой учетки, бэкапы на том же диске, если вообще есть, с терминальных сессий народ на мейл.ру почту читает, вин.апдейт отключен, "чтобы пиратку не спалили", зато лицензионный Касперский на серваке. И ладно если бы это чей-то сын устанавливал, так оказывается, их "компьютерная фирма" обслуживает. В моей практике был анекдотический случай. Бухгалтерия из 4 человек, 3 женщины и парень. У парня своя база, на сервер ее он отказался отдавать, держал на своей машине, типа сам все знает и сам за всем следит. Хорошо, что был бэкап на флешке, плохо, что трехмесячной давности.

          • 20:34 13 Мая 2017
            1 0
            Бэкап трехмесячной давности )))

            • 15:38 14 Мая 2017
              1 0
              У истории было продолжение. Этот парень - бух на самом деле был не так прост. Самостоятельно добил первичку в базу до актуальности, не знаю, за какое время, затем через тор связался с вымогателями, спросил цену ключа. Объявили 20 тыс. рублей (цифра условная, но масштаб примерно такой). После этого по интернету начал обзванивать конторы, которые предлагают услуги по расшифровке. Цена 20-25 тыс. рублей. Вывод очевиден.
              Но и это не все. Он опять связался с вымогателями, сказал что ему данные расшифруют за 10 тысяч, не хотят ли злодеи сбавить цену? Надоела эта возня ему примерно на уровне 3 тысяч. Парень кстати русский.

  • 18:10 13 Мая 2017
    4 2
    Вирусы - вымогатели
    Время со мной потратили
    С Windows не надо мучаться
    Когда есть надёжный Mac

    • 19:00 13 Мая 2017
      0 1
      А лучше совсем не париться,
      Немного совсем потратиться...
      И что бы потом не грустить,
      Нужно Каспера в комп поселить...)))

      • 20:06 13 Мая 2017
        4 0
        Ни разу не видел, чтобы антивирус помог от свежего шифровальщика. И не только Касперский.

        • 21:06 13 Мая 2017
          1 0
          Прививка от гриппа тоже не панацея, а люди делают ))

          • 21:26 13 Мая 2017
            2 0
            Прививка от гриппа хотя бы не дает иллюзию защищенности.

            • 21:34 13 Мая 2017
              1 0
              Ну почему же? Думаю, что кто верит в Касперского, тот свято верит и в прививку... и наоборот ))))

              • Alx
                00:24 14 Мая 2017
                4 0
                Тут сама идея порочна - Касперский получит сигнатуру вируса тогда, когда он уже сделает свое черное дело.

                • 10:41 14 Мая 2017
                  1 0
                  Я выше кидал ссылку на рекламный пост Панды. Типа блокировать процесс, убивающие теневые копии. Работает ли этот механизм - хз, не было возможности проверить в деле. Да и такая революция в вирусологии должна была вызвать шквал оваций, которого не наблюдается.

  • 12:59 14 Мая 2017
    0 3
    Статья полный бред. Какие письма, вы что???Практический любой компьютер может быть заражён, этим вирусом, если не обновляли windows!!! Каждый кто ставит пиратский софт, закрывает обновления и подвергает себя риску. Пока временное решение есть, но обновления с майкрософта всё равно надо поставить, для закрытия этой дыры.

    • 15:41 14 Мая 2017
      1 0
      Каждый кто ставит пиратский софт, закрывает обновления
      - это вам кибердружинники сказали?

  • 1%
    13:07 14 Мая 2017
    1 0
    офисные демиурги негодуют.... клоуны, если предположить невозможное и целью атаки будет сервачок ваших "Рогов и Копыт" (аж самому смешно)))) то защититься от нее вы не сможете в принципе) если очкуете за свои файлы, то копируйте их на флэшку и носите ее в кармане.

    • 16:05 14 Мая 2017
      1 0
      Про молитву забыл, а так все по делу.

Оставить комментарий