„WannaCry“ išpirkos reikalaujanti programa yra nauja ir plačiai paplitusi kibernetinė pandemija, jau paėmusi įkaitais daugiau nei 230 000 kompiuterių. Esant dabartiniam sklaidos dydžiui, WannaCry artėja prie kitų liūdnai pagarsėjusių kibernetinių grėsmių, tokių kaip Cerber ar Locky, lygio.
Nepaisant to, kas išskiria WCry iš šių dviejų pavojingiausių praėjusių metų parazitų yra naujų platinimo metodų naudojimas, kuris daro nereikia, kad aukos spustelėtų užkrėstas nuorodas arba dalyvautų įsigyjant išpirkos reikalaujančias programas būdu.
Kenkėjiška programa naudoja JAV žvalgybos naudojamą praktiką ir įrankius, kad galėtų įsilaužti į kompiuterius ir paleisti kenkėjišką scenarijų, kad naudotojo duomenys būtų neprieinami. Visų pirma, išpirkos reikalaujančios programos naudoja „EternalBlue“ išnaudojimą, skirtą „Windows“ įrenginiams su nepataisytu MS17-010 pažeidžiamumu. Ši saugos spraga yra „Windows“ versijose, kurios nebepalaikomos ir negauna jokių saugos naujinimų.
Laimei, reaguodama į naujausius įvykius, „Microsoft“ išleido „Windows XP“, „Windows Server 2003“, „Windows 8“ ir keleto kitų pasenusių operacinių sistemų avarinius pataisymus. Tačiau net ir programinės įrangos atnaujinimo gali nepakakti, kad būtų išvengta išpirkos reikalaujančių programų.
Žemiau pateiksime instrukcijas, kaip išjungti SMB (Server Message Block) funkciją, kuri naudojama kenkėjiškam pranešimui įdiegti. WanaCrypt0r failus kompiuteryje. Tačiau prieš pereidami prie mokymo programos, norime trumpai apibūdinti kenkėjišką programą ir kaip ji veikia užkrėstame kompiuteryje, kad būtų lengviau ją atpažinti.
„Wannacry“ naudoja skirtingus plėtinius šifruotiems failams pažymėti
Kaip tikriausiai pastebėjote, ankstesnėse pastraipose mes vartojome skirtingus pavadinimus, nurodydami WannaCry virusą. Taip yra dėl viruso, kuris iš tiesų plinta įvairiomis formomis ir formomis, kurias greičiausiai bus sunkiau atpažinti ir nutraukti.
Tyrimas atskleidė, kad virusas dabar naudoja keturis skirtingus plėtinius .wncry, .wncrytt, .wcry arba .wncryt, kad pažymėtų užšifruotus failus, tačiau galime tikėtis daugiau variantų, kai išpirkos reikalaujanti programa paima greitis. Norėdami atsisakyti šių plėtinių ir atkurti failus, vartotojai turi sumokėti turto prievartautojams iki 600 dolerių Bitcoin; priešingu atveju užšifruoti duomenys bus sunaikinti. @[apsaugotas el. paštas] langas atidaro laikmatį, kuris skaičiuoja laiką iki duomenų sunaikinimo. Deja, šiuo metu nėra nemokamos iššifravimo programinės įrangos, kuri padėtų nemokamai atkurti užšifruotus duomenis.
Taigi, kai jau užsikrėtėte, tikrai nieko negalite padaryti, kad panaikintumėte atakos pasekmes. Taigi, daug svarbiau imtis veiksmų ir apsaugoti savo įrenginį, kol virusas nepasiekia jūsų sistemos. Štai keletas veiksmų, kurių turėtumėte imtis, kad išvengtumėte WannaCry įsiskverbimo.
Kaip išjungti SMB ir užkirsti kelią WannaCry atakai?
SMB (Server Message Block) funkcija yra pagrindinis pažeidžiamumas, leidžiantis išpirkos programai užkrėsti kompiuterius. Kadangi ši funkcija sistemoje „Windows“ įjungta pagal numatytuosius nustatymus, turto prievartautojai gali lengvai ją naudoti vykdydami ataką. Todėl labai rekomenduojame jį išjungti, jei jo nenaudojate. Tai tikrai paprasta ir jūs galite pasiekti tris pagrindinius veiksmus:
- Spustelėkite „Windows“ logotipą apatiniame kairiajame ekrano kampe ir paieškos juostoje įveskite „Windows Features“.
- Atidarykite funkcijų langą, eikite į nustatymus ir ieškokite SMB įrašo. Panaikinkite žymėjimą ir spustelėkite Gerai
- Iš naujo paleiskite kompiuterį
Taip pat galite išjungti SMB naudodami „PowerShell“. Ką reikia padaryti, tai įveskite „Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol“. Kai funkcija išjungta, rekomenduojame iš naujo paleisti kompiuterį.