תוכנת כופר WannaCry היא מגיפת הסייבר החדשה והרווחת שכבשה כבר יותר מ-230,000 מחשבים כבני ערובה. עם נפח הפיזור הנוכחי שלה, WannaCry מתקרבת לרמה של איומי סייבר ידועים לשמצה אחרים כמו Cerber או Locky.
בכל זאת, מה מבדיל WCry משני הטפילים המסוכנים ביותר של השנה שעברה הוא השימוש בטכניקות הפצה חדשות שכן לא צריך קורבנות ללחוץ על הקישורים הנגועים או לקחת חלק ברכישת תוכנת הכופר בכל תחום אחר דֶרֶך.
התוכנה הזדונית משתמשת בשיטות ובכלים המשמשים את המודיעין האמריקאי כדי לפרוץ למחשבים ולהפעיל את הסקריפט הזדוני כדי להפוך את נתוני המשתמש לבלתי נגישים. במיוחד, תוכנת כופר משתמשת בניצול EternalBlue כדי למקד למכשירי Windows עם פגיעות MS17-010 ללא תיקון. פער אבטחה זה פתוח בגרסאות Windows שאינן נתמכות עוד ואינן מקבלות עדכוני אבטחה.
למרבה המזל, בתגובה לאירועים האחרונים, מיקרוסופט פרסמה תיקוני חירום עבור Windows XP, Windows Server 2003, Windows 8 ועוד כמה מערכות הפעלה מיושנות. אבל אולי אפילו עדכון התוכנה לא יספיק כדי למנוע התקפת תוכנת כופר.
להלן, נספק הוראות כיצד להשבית את פונקציונליות ה-SMB (Server Message Block) המשמשת לפריסת
WanaCrypt0r קבצים במחשב. אבל לפני שניגש למדריך, ברצוננו לתת הגדרה קצרה של התוכנה הזדונית וכיצד היא מתנהגת במחשב הנגוע, כדי לעזור לך לזהות אותה ביתר קלות.Wannacry משתמש בהרחבות שונות כדי לסמן קבצים מוצפנים
כפי שאולי שמתם לב, לאורך הפסקאות הקודמות השתמשנו בשמות שונים כדי להתייחס לווירוס WannaCry. זה באמת בגלל הנגיף, מסתובב במגוון צורות וצורות שונות, ככל הנראה קשה יותר לזהות ולהפסיק.
המחקר גילה שהנגיף משתמש כעת בארבע הרחבות שונות .wncry, .wncrytt, .wcry או .wncryt כדי לסמן את הקבצים המוצפנים, אך אנו יכולים לצפות לעוד וריאציות ככל שתוכנת הכופר תתגבר מְהִירוּת. כדי להוריד את ההרחבות הללו ולשחזר קבצים, על המשתמשים לשלם לסחטנים עד 600 דולר בביטקוין; אחרת, הנתונים המוצפנים יושמדו. @[מוגן באימייל] חלון פותח טיימר שסופר לאחור את הזמן עד להשמדת הנתונים. למרבה הצער, לא קיימת כרגע תוכנת פענוח חינמית שתעזור לשחזר נתונים מוצפנים בחינם.
אז, ברגע שנדבקת, אין באמת שום דבר שאתה יכול לעשות כדי להחזיר את ההשלכות של ההתקפה. לכן, הרבה יותר חשוב לנקוט בפעולה ולהגן על המכשיר שלך לפני שכל וירוס ידרדר למערכת שלך. הנה כמה צעדים שעליך לנקוט כדי למנוע חדירת WannaCry.
כיצד להשבית את SMB ולמנוע התקפת WannaCry?
פונקציית SMB (Server Message Block) היא הפגיעות העיקרית המאפשרת לתוכנת הכופר להדביק מחשבים. מכיוון שתכונה זו מופעלת ב-Windows כברירת מחדל, סחטנים יכולים להשתמש בה בקלות כדי לבצע את המתקפה. לפיכך, אנו ממליצים בחום להשבית אותו אם אינך משתמש בו. זה ממש פשוט ואתה יכול להשיג בשלושה שלבים בסיסיים:
- לחץ על הלוגו של Windows בפינה השמאלית התחתונה של המסך והקלד "תכונות Windows" בשורת החיפוש
- פתח את חלון התכונה ועבור להגדרות וחפש את הערך SMB. בטל את הסימון ולחץ על אישור
- לאתחל את המחשב
אתה יכול גם להשבית את SMB באמצעות PowerShell. מה שאתה צריך לעשות הוא להקליד "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". לאחר השבתת התכונה, אנו ממליצים לאתחל את המחשב.