WannaCry ransomware е новата и широко разпространена киберпандемия, която вече взе за заложници повече от 230 000 компютъра. С настоящия си обем на разсейване, WannaCry се доближава до нивото на други печално известни кибер заплахи като Cerber или Locky.
Въпреки това, това, което отличава WCry от тези два миналогодишни най-опасни паразита е използването на нови техники за разпространение, които го правят няма нужда от жертви, за да щракнат върху заразените връзки или да участват в придобиването на ransomware в други начин.
Зловредният софтуер използва практики и инструменти, използвани от американското разузнаване, за да проникне в компютрите и да стартира злонамерения скрипт, за да направи данните на потребителя недостъпни. По-специално, ransomware използва експлойт EternalBlue за насочване към устройства с Windows с непоправена уязвимост MS17-010. Тази празнина в сигурността е отворена за версии на Windows, които вече не се поддържат и не получават актуализации на защитата.
За щастие, в отговор на последните събития, Microsoft пусна спешни корекции за Windows XP, Windows Server 2003, Windows 8 и няколко други остарели операционни системи. Но дори актуализацията на софтуера може да не е достатъчна, за да предотврати атаката на ransomware.
По-долу ще предоставим инструкции как да деактивирате SMB (Server Message Block) функционалност, която се използва за внедряване на злонамерено WanaCrypt0r файлове на компютъра. Но преди да преминем към урока, искаме да дадем кратка дефиниция на зловредния софтуер и как се държи на заразения компютър, за да ви помогнем да го разпознаете по-лесно.
Wannacry използва различни разширения за маркиране на криптирани файлове
Както може би сте забелязали, в предишните параграфи сме използвали различни имена за обозначаване на вируса WannaCry. Това се дължи на факта, че вирусът се движи наоколо в различни форми и форми, най-вероятно ще бъде по-трудно да се разпознае и прекрати.
Изследването разкри, че вирусът вече използва четири различни разширения .wncry, .wncrytt, .wcry или .wncryt, за да маркирате криптираните файлове, но можем да очакваме повече вариации, тъй като ransomware се вдигне скорост. За да махнат тези разширения и да възстановят файлове, потребителите трябва да платят на изнудвачите до 600 долара в биткойн; в противен случай криптираните данни ще бъдат унищожени. @[защитен с имейл] прозорец отваря таймер, който отброява времето до унищожаването на данните. За съжаление в момента не съществува безплатен софтуер за декриптиране, който да помогне за възстановяване на криптирани данни безплатно.
Така че, след като сте били заразени, наистина не можете да направите нищо, за да намалите последствията от атаката. Така че е много по-важно да предприемете действия и да защитите устройството си, преди вирус да стъпи във вашата система. Ето някои стъпки, които трябва да предприемете, за да предотвратите инфилтрация на WannaCry.
Как да деактивирате SMB и да предотвратите атаката на WannaCry?
Функцията SMB (Server Message Block) е основната уязвимост, която позволява на рансъмуера да заразява компютрите. Тъй като тази функция е активирана в Windows по подразбиране, изнудвачите могат лесно да я използват, за да извършат атаката. Затова силно препоръчваме да го деактивирате, ако не го използвате. Това е наистина просто и можете да го постигнете в три основни стъпки:
- Щракнете върху логото на Windows в долния ляв ъгъл на екрана и въведете „Функции на Windows“ в лентата за търсене
- Отворете прозореца с функции и отидете на настройките и потърсете записа SMB. Премахнете отметката и щракнете върху OK
- Рестартирайте компютъра
Можете също да деактивирате SMB чрез PowerShell. Това, което трябва да направите, е да въведете „Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol“. След като функцията е деактивирана, препоръчваме да рестартирате компютъра.