Вирус WannaCry: как не дать хакерам завладеть вашим компьютером

Rомпьютеры под управлением операционных систем Windows по всему миру 12 мая подверглись самой масштабной атаке за последнее время.

Речь идет о вирусе WannaCry (WNCRY, Wana Decrypt0r 2.0), относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идет о суммах от $300 до $600, которые жертва должна перечислить на определенный кошелек в биткойнах, пишет 3dnews. Размер выкупа зависит от времени, прошедшего с момента заражения — через определенный интервал она повышается.

Пятничная атака криптовымогателя WannaCry поразила более 200 тысяч компьютеров в 150 странах, сказал руководитель Европола Роб Уэйнрайт (на момент написания новости - более 250 тысяч). Атака стала "беспрецедентной по своему размеру", а полный масштаб заражений пока неизвестен. По словам Уэйнрайта, многие пользователи найдут свои компьютеры зараженными в понедельник утром. Среди стран наиболее пострадали Россия и Великобритания.

Чтобы не пополнить ряды тех, чей компьютер оказался заражен, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удаленно запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой еще предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых еще не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы.

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновленным антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

  • наиболее распространенные офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
  • некоторые менее популярные типы документов (.sxw, .odt, .hwp).
  • архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
  • базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
  • ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
  • файлы виртуальных машин (.vmx, .vmdk, .vdi).

Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1. Для этого в коммандной строке надо прописать "dism /online /norestart /disable-feature /featurename:SMB1Protocol" без кавычек. Владельцы Windows 10 могут просто скопировать и вставить эту комманду в коммандную строку. Эта команда отключает поддержку старого протокола для удаленного доступа к файлам (SAMBA).

В Windows 7 SMBv1 отключается этими командами: "sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi" и "sc.exe config mrxsmb10 start= disabled" (без каычек).

Самое интересное, что влдельцы пиратских версий Windows могут чувствовать себя в большей безопасности, чем владельцы лицензионных версий, так как в пиратских дистрибутивах SMB1 чаще всего вырезан или отключен по умолчанию.

Новости по теме

Microsoft подтвердил причастность АНБ к глобальной кибератаке

Хотите первыми получать важную и полезную информацию? Подписывайтесь! Telegram, Viber, Twitter, Facebook, Instagram и YouTube
Теги:WannaCrypt
Новости партнеров
Загрузка...
Загрузка...