WannaCry ransomware ir jaunā un plaši izplatītā kiberpandēmija, kas par ķīlniekiem saņēmusi jau vairāk nekā 230 000 datoru. Ar savu pašreizējo izkliedes apjomu WannaCry tuvojas citu bēdīgi slavenu kiberdraudu līmenim, piemēram, Cerber vai Locky.
Tomēr, kas atšķir WCry no šiem diviem pagājušā gada bīstamākajiem parazītiem ir jaunu izplatīšanas metožu izmantošana, kas to dara upuriem nav jāklikšķina uz inficētajām saitēm vai jāpiedalās izspiedējvīrusa iegūšanā jebkurā citā veidā.
Ļaunprātīgā programmatūra izmanto ASV izlūkdienestu izmantotās prakses un rīkus, lai ielauztos datoros un palaistu ļaunprātīgu skriptu, lai padarītu lietotāja datus nepieejamus. Jo īpaši izspiedējvīrusa programmatūra izmanto EternalBlue izmantošanu, lai mērķētu uz Windows ierīcēm ar neaizlāpītu MS17-010 ievainojamību. Šī drošības nepilnība ir atvērta Windows versijās, kuras vairs netiek atbalstītas un nesaņem drošības atjauninājumus.
Par laimi, reaģējot uz jaunākajiem notikumiem, Microsoft ir izlaidusi avārijas ielāpus operētājsistēmām Windows XP, Windows Server 2003, Windows 8 un dažām citām novecojušām operētājsistēmām. Taču pat ar programmatūras atjauninājumu var nepietikt, lai novērstu izspiedējvīrusa uzbrukumu.
Tālāk mēs sniegsim norādījumus, kā atspējot SMB (Server Message Block) funkcionalitāti, kas tiek izmantota ļaunprātīgas programmatūras izvietošanai. WanaCrypt0r failus datorā. Taču, pirms pārejam uz apmācību, mēs vēlamies sniegt īsu ļaunprātīgas programmatūras definīciju un tās darbību inficētajā datorā, lai palīdzētu jums to vieglāk atpazīt.
Wannacry izmanto dažādus paplašinājumus, lai atzīmētu šifrētus failus
Kā jūs, iespējams, pamanījāt, iepriekšējos punktos mēs esam izmantojuši dažādus nosaukumus, lai atsauktos uz WannaCry vīrusu. Tas ir tāpēc, ka vīruss patiešām ceļo dažādās formās un formās, un, visticamāk, to ir grūtāk atpazīt un pārtraukt.
Pētījums atklāja, ka vīruss tagad izmanto četrus dažādus paplašinājumus .wncry, .wncrytt, .wcry vai .wncryt, lai atzīmētu šifrētos failus, taču mēs varam sagaidīt vairāk variāciju, kad izspiedējprogrammatūra sāks darboties ātrumu. Lai atmestu šos paplašinājumus un atgūtu failus, lietotājiem jāsamaksā izspiedējiem līdz 600 dolāriem Bitcoin; pretējā gadījumā šifrētie dati tiks iznīcināti. @[aizsargāts ar e-pastu] logā tiek atvērts taimeris, kas skaita laiku līdz datu iznīcināšanai. Diemžēl pašlaik nepastāv bezmaksas atšifrēšanas programmatūra, kas palīdzētu bez maksas atgūt šifrētos datus.
Tātad, tiklīdz esat inficējies, jūs neko daudz nevarat darīt, lai novērstu uzbrukuma sekas. Tāpēc daudz svarīgāk ir rīkoties un aizsargāt savu ierīci, pirms kāds vīruss iekļūst jūsu sistēmā. Tālāk ir norādītas dažas darbības, kas jāveic, lai novērstu WannaCry infiltrāciju.
Kā atspējot SMB un novērst WannaCry uzbrukumu?
SMB (Server Message Block) funkcija ir galvenā ievainojamība, kas ļauj izspiedējprogrammatūrai inficēt datorus. Tā kā šī funkcija operētājsistēmā Windows ir iespējota pēc noklusējuma, izspiedēji to var viegli izmantot, lai veiktu uzbrukumu. Tāpēc mēs ļoti iesakām to atspējot, ja to neizmantojat. Tas ir patiešām vienkārši, un to var sasniegt, veicot trīs pamata darbības:
- Noklikšķiniet uz Windows logotipa ekrāna apakšējā kreisajā stūrī un meklēšanas joslā ierakstiet “Windows līdzekļi”.
- Atveriet funkciju logu un dodieties uz iestatījumiem un meklējiet SMB ierakstu. Noņemiet atzīmi un noklikšķiniet uz Labi
- Restartējiet datoru
Varat arī atspējot SMB, izmantojot PowerShell. Kas jums jādara, ir ierakstiet "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Kad funkcija ir atspējota, ieteicams restartēt datoru.