tvernews.ru
24 мая Среда :
Погода в Твери Курсы валют | Сообщить об ошибке

Зарегистрируйтесь, если вы еще не состоите в сообществе tvernews.ru

Тверские компании атаковал вирус-вымогатель Wana Decrypt0r 2.0

13 Мая 2017 15:09
Автор:

Тверские компании и домашние пользователи были атакованы шифровальщиком Wana Decrypt0r. Как сообщает тверская кибердружина, в основном пострадали крупные компании города.

В основном, подобное вредоносное программное обеспечение можно получить по электронной почте или пользователь рискует случайно скачать его. Например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом распространения остается электронная почта.

Потенциальная жертва может получить обычный вордовский документ, в котором может содержаться замаскированный вирус, даже при отключенных макросах. Проникнув в систему, начинается сканирование файловой системы компьютера и выполняет шифрацию файлов. К шифрованным файлам добавляется расширение «.WNCRY». Затем начинает вымогать денежные средства для получения ключа расшифровки файлов. Денежные средства должны перечисляться в биткоинах.

Ведущий специалист-эксперт тверской кибердружины Сергей Большаков рассказал, как защититься от подобного рода вымогателей. Для этого необходимо установить на компьютер, работающий под управлением операционных систем Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016 обновление MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), которое было выпущено компанией Microsoft еще в марте 2017 года.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов стоит загрузить последнюю версию и включить компонент Мониторинг системы.

Затем нужно проверить систему: в случае обнаружения вредоносных приложений (MEM: Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что обновление MS17-010 установлено.

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0. Для этого необходимо включить безопасный режим с загрузкой сетевых драйверов. (В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8.) Также в сети есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами.

Последний шаг — это восстановление зашифрованных файлов, которое следует выполнять только после удаления вируса-шифровальщика. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (http://www.shadowexplorer.com/downloads.html) (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com/windows-data-recovery-professional.php). Эти способы не гарантируют полного восстановления файлов.

Так же Сергей Большаков отметил, что тверские компании проявляют халатность, по отношению к информационной безопасности своих информационных систем и необходимо своевременно проводить апдейты, чтобы избежать подобного.

Нашли опечатку - выделите ее мышкой и нажмите Ctrl+Enter
Комментарии (30)

  • эммм... а при чем здесь вложение в электронную почту и торренты? вирус лезет через открытый порт благодаря дырке в SMB (т.е. достаточно просто подключить компьютер с уязвимостью к интернету), а во-вторых, активацию вируса на вновь зараженных компьютерах уже приостановили используя инструментарий самого шифровальщика.
    
    П.С. предложение использовать Shadow Explorer для восстановления теневых копий, с удаления которых начинает свою работу вирус - гениально!
    
    П.П.С. если вирусня попала в сеть, то он распролзается и по машинам с более старыми системами. Для них мелкософт оперативно выпустил патч https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
    13.05.2017 15:31
    0 | 11

    • Эту штуку 95% пользователей ловят при скачивании документов с почты от неизвестного адресата
      Вывод: смотри от кого приходят письма!
      13.05.2017 15:35
      3 | 5

      • Ты дурак? тебеж только что объяснили, компьютер заражается шифровальщиком без твоего участия вообще, достаточно просто включить компьютер, шифровальщик сам найдёт тебя и взломав компьютер зашифрует файлы.
        13.05.2017 17:36
        3 | 5

        • Хамло - с пионерами по возрасту так общайся
          14.05.2017 11:42
          1 | 0

      • Если без хамства - вы оба и правы и неправы. Шифровальщик - это не только ванна, тысячи их. Действительно, были весьма любопытные криптлокеры, которые распространялись через почтовые файлы.
        https://xakep.ru/2017/01/12/spora-ransomware/
        http://www.spyware-ru.com/virus-shifrovalshhik-locky-ispolzuet-novoe-rasshirenie-shit/
        Я с похожим столкнулся, причем интересным образом. Человек получил письмо с аттачем от своего постоянного бизнес-партнера. Вот только их бизнес начинался с 90-х и человек имел опыт хождения с пистолетом, когда патрон в патроннике. Поэтому обратил внимание на время письма - 5 утра. Не стал отрывать аттач, а сначала позвонил партнеру. Естественно, никакого письма тот не посылал.
        14.05.2017 15:59
        1 | 0

    • "активацию вируса на вновь зараженных компьютерах уже приостановили используя инструментарий самого шифровальщика"
      Это пока новое доменное имя в новой версии трояна не появилось...
      13.05.2017 15:51
      0 | 3

  • Вяленький пиар беспонтовой квази-организации. 
    13.05.2017 15:36
    2 | 3

  • Ну что, трудно было ожидать другого от кибердружинника. Не мешки ворочать. Насчет восстановления из теневых копий - http://www.pandasecurity.com/mediacenter/news/tales-ransomwhere-shadow-copies/
    Если вкратце - не поможет.
    13.05.2017 15:37
    2 | 3

  • ИМХО, на ТИА только один вирус (но не вымогатель) это добрый крот.
    13.05.2017 16:05
    2 | 6

  • Схватили в прошлом году на рабочий сервак, почти все файлы шифронулись...   предложений не было, сами искали дешифровальщиков. Цены и отсутствие гарантии на результат заставили забить и забыть...
    13.05.2017 16:35
    0 | 2

    • Антивирусник надо было нормальный ставить, хотя и он помогает только на 96..98%.......
      13.05.2017 16:41
      9 | 1

      • Вам прямая дорога в кибердружинники.
        13.05.2017 20:06
        0 | 1

      • Alx
        Антивирусник не помогает никак. У меня у знакомой с лицензионным Касперским за месяц два раза диск зашифровало. В битве меча и щита всегда победит меч.
        14.05.2017 00:20
        0 | 0

    • админа хоть поменяли?
      13.05.2017 17:14
      2 | 2

      • Админа в штате нет, поменяли обслуживающих наемников...
        13.05.2017 18:22
        0 | 0

        • К сожалению, сложно выявить халтуру в "несвоей" области. В первые эпидемии шифровальщиков на такое насмотрелся. Шары с базами 1с в сеть смотрят, без пароля и с полными правами для гостевой учетки, бэкапы на том же диске, если вообще есть, с терминальных сессий народ на мейл.ру почту читает, вин.апдейт отключен, "чтобы пиратку не спалили", зато лицензионный Касперский на серваке. И ладно если бы это чей-то сын устанавливал, так оказывается, их "компьютерная фирма" обслуживает. В моей практике был анекдотический случай. Бухгалтерия из 4 человек, 3 женщины и парень. У парня своя база, на сервер ее он отказался отдавать, держал на своей машине, типа сам все знает и сам за всем следит. Хорошо, что был бэкап на флешке, плохо, что трехмесячной давности.
          13.05.2017 20:05
          0 | 1

          • Бэкап трехмесячной давности )))
            13.05.2017 20:34
            0 | 1

            • У истории было продолжение. Этот парень - бух на самом деле был не так прост. Самостоятельно добил первичку в базу до актуальности, не знаю, за какое время, затем через тор связался с вымогателями, спросил цену ключа. Объявили 20 тыс. рублей (цифра условная, но масштаб примерно такой). После этого по интернету начал обзванивать конторы, которые предлагают услуги по расшифровке. Цена 20-25 тыс. рублей. Вывод очевиден.
              Но и это не все. Он опять связался с вымогателями, сказал что ему данные расшифруют за 10 тысяч, не хотят ли злодеи сбавить цену? Надоела эта возня ему примерно на уровне 3 тысяч. Парень кстати русский.
              14.05.2017 15:38
              0 | 1

  • Вирусы - вымогатели
    Время со мной потратили
    С Windows не надо мучаться
    Когда есть надёжный Mac
    13.05.2017 18:10
    2 | 4

    • А лучше совсем не париться,
      Немного совсем потратиться...
      И что бы потом не грустить,
      Нужно Каспера в комп поселить...)))
      13.05.2017 19:00
      1 | 0

      • Ни разу не видел, чтобы антивирус помог от свежего шифровальщика. И не только Касперский.
        13.05.2017 20:06
        0 | 4

        • Прививка от гриппа тоже не панацея, а люди делают ))
          13.05.2017 21:06
          0 | 1

          • Прививка от гриппа хотя бы не дает иллюзию защищенности.
            13.05.2017 21:26
            0 | 2

            • Ну почему же? Думаю, что кто верит в Касперского, тот свято верит и в прививку... и наоборот ))))
              13.05.2017 21:34
              0 | 1

              • Alx
                Тут сама идея порочна - Касперский получит сигнатуру вируса тогда, когда он уже сделает свое черное дело.
                
                14.05.2017 00:24
                0 | 4

                • Я выше кидал ссылку на рекламный пост Панды. Типа блокировать процесс, убивающие теневые копии. Работает ли этот механизм - хз, не было возможности проверить в деле. Да и такая революция в вирусологии должна была вызвать шквал оваций, которого не наблюдается.
                  14.05.2017 10:41
                  0 | 1

  • Статья полный бред. Какие письма, вы что???Практический любой компьютер может быть заражён, этим вирусом, если не обновляли windows!!! Каждый кто ставит пиратский софт, закрывает обновления и подвергает себя риску. Пока временное решение есть, но обновления с  майкрософта всё равно надо поставить, для закрытия этой дыры.
    14.05.2017 12:59
    3 | 0

    • Каждый кто ставит пиратский софт, закрывает обновления
      - это вам кибердружинники сказали?
      14.05.2017 15:41
      0 | 1

  • 1%
    офисные демиурги негодуют.... клоуны, если предположить невозможное и целью атаки будет сервачок ваших "Рогов и Копыт" (аж самому смешно)))) то защититься от нее вы не сможете в принципе) если очкуете за свои файлы, то копируйте их на флэшку и носите ее в кармане. 
    14.05.2017 13:07
    0 | 1

    • Про молитву забыл, а так все по делу.
      14.05.2017 16:05
      0 | 1
Для того чтобы оставить комментарий, вам необходимо авторизоваться.