WannaCry lunnasohjelma on uusi ja laajalle levinnyt kyberpandemia, joka on ottanut panttivangiksi jo yli 230 000 tietokonetta. WannaCry lähestyy nykyisellä levinneisyydellä muiden surullisen kyberuhkien, kuten Cerberin tai Lockyn, tasoa.
Siitä huolimatta, mikä erottaa WCry näistä kahdesta viime vuoden vaarallisimmasta loisesta on uusien jakelutekniikoiden käyttö uhrien ei tarvitse napsauttaa tartunnan saaneita linkkejä tai osallistua kiristysohjelmien hankintaan missään muussa tapauksessa tapa.
Haittaohjelma käyttää Yhdysvaltain tiedustelupalvelun käyttämiä käytäntöjä ja työkaluja murtautuakseen tietokoneisiin ja suorittaakseen haitallisen skriptin estääkseen käyttäjien tietojen pääsyn. Erityisesti kiristysohjelmat käyttävät EternalBlue-hyödyntämistä kohdistaakseen Windows-laitteisiin, joissa on korjaamaton MS17-010-haavoittuvuus. Tämä tietoturvavaje on avoinna Windows-versioissa, joita ei enää tueta ja joihin ei saada tietoturvapäivityksiä.
Onneksi vastauksena viimeisimpiin tapahtumiin Microsoft on julkaissut hätäkorjaukset Windows XP: lle, Windows Server 2003:lle, Windows 8:lle ja muutamille muille vanhentuneille käyttöjärjestelmille. Mutta edes ohjelmistopäivitys ei välttämättä riitä estämään kiristysohjelmahyökkäystä.
Alla annamme ohjeet SMB (Server Message Block) -toiminnon poistamiseen käytöstä, jota käytetään haitallisen sovelluksen käyttöön. WanaCrypt0r tiedostoja tietokoneessa. Mutta ennen kuin siirrymme opetusohjelmaan, haluamme antaa lyhyen määritelmän haittaohjelmasta ja siitä, miten se käyttäytyy tartunnan saaneessa tietokoneessa, jotta voit tunnistaa ne helpommin.
Wannacry käyttää erilaisia laajennuksia salattujen tiedostojen merkitsemiseen
Kuten olet ehkä huomannut, olemme käyttäneet aiemmissa kappaleissa eri nimiä viittaamaan WannaCry-virukseen. Se johtuu siitä, että virus todellakin kulkee ympäriinsä monissa eri muodoissa ja muodoissa, mikä on todennäköisimmin vaikeampaa tunnistaa ja lopettaa.
Tutkimus on paljastanut, että virus käyttää nyt neljää eri laajennusta .wncry, .wncrytt, .wcry tai .wncryt merkitsee salatut tiedostot, mutta voimme odottaa lisää muunnelmia, kun kiristysohjelma poimii nopeus. Pudottaakseen nämä laajennukset ja palauttaakseen tiedostot käyttäjien on maksettava kiristäjille jopa 600 dollaria Bitcoinina; muuten salatut tiedot tuhoutuvat. @[sähköposti suojattu] ikkuna avaa ajastimen, joka laskee aikaa tietojen tuhoutumiseen. Valitettavasti tällä hetkellä ei ole olemassa ilmaista salauksenpurkuohjelmistoa, joka auttaisi palauttamaan salatut tiedot ilmaiseksi.
Joten kun olet saanut tartunnan, et voi tehdä juuri mitään hyökkäyksen seurausten kumoamiseksi. Joten on paljon tärkeämpää ryhtyä toimiin ja suojata laitteesi ennen kuin mikään virus astuu järjestelmääsi. Tässä on joitain vaiheita, jotka sinun tulee tehdä estääksesi WannaCry-tunkeutumisen.
Kuinka poistaa SMB käytöstä ja estää WannaCry-hyökkäys?
SMB (Server Message Block) -toiminto on tärkein haavoittuvuus, jonka avulla kiristysohjelma saastuttaa tietokoneita. Koska tämä ominaisuus on oletusarvoisesti käytössä Windowsissa, kiristäjät voivat helposti käyttää sitä hyökkäyksen suorittamiseen. Siksi suosittelemme sen poistamista käytöstä, jos et käytä sitä. Se on todella yksinkertaista ja voit saavuttaa kolmella perusvaiheella:
- Napsauta Windows-logoa näytön vasemmassa alakulmassa ja kirjoita hakupalkkiin "Windows-ominaisuudet".
- Avaa ominaisuusikkuna ja siirry asetuksiin ja etsi SMB-merkintä. Poista valinta ja napsauta OK
- Käynnistä tietokone uudelleen
Voit myös poistaa SMB: n käytöstä PowerShellin kautta. Sinun tarvitsee vain kirjoittaa "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Kun ominaisuus on poistettu käytöstä, suosittelemme käynnistämään tietokoneen uudelleen.