WannaCry ransomware är den nya och utbredda cyberpandemin som redan har tagit mer än 230 000 datorer som gisslan. Med sin nuvarande spridningsvolym närmar sig WannaCry nivån av andra ökända cyberhot som Cerber eller Locky.
Ändå vad som utmärker WCry från dessa två förra årets farligaste parasiter är användningen av nya distributionstekniker som gör det offren behöver inte klicka på de infekterade länkarna eller delta i anskaffningen av ransomware i någon annan sätt.
Skadlig programvara använder metoder och verktyg som används av den amerikanska underrättelsetjänsten för att bryta sig in i datorer och köra det skadliga skriptet för att göra användarens data oåtkomlig. I synnerhet använder ransomware EternalBlue-exploateringen för att rikta in sig på Windows-enheter med en oparpad MS17-010-sårbarhet. Denna säkerhetslucka är öppen på Windows-versioner som inte längre stöds och som inte får några säkerhetsuppdateringar.
Lyckligtvis, som svar på de senaste händelserna, har Microsoft släppt nödpatchar för Windows XP, Windows Server 2003, Windows 8 och några andra föråldrade operativsystem. Men även programuppdateringen kanske inte räcker för att förhindra ransomware-attack.
Nedan kommer vi att ge instruktioner hur du inaktiverar SMB (Server Message Block) funktionalitet som används för att distribuera den skadliga WanaCrypt0r filer på datorn. Men innan vi går till handledningen vill vi ge en kort definition av skadlig programvara och hur den beter sig på den infekterade datorn, för att hjälpa dig att känna igen det lättare.
Wannacry använder olika tillägg för att markera krypterade filer
Som du kanske har märkt har vi genom tidigare stycken använt olika namn för att referera till WannaCry-viruset. Det beror på att viruset faktiskt reser runt i en mängd olika former och former, med största sannolikhet svårare att känna igen och avsluta.
Forskningen har visat att viruset nu använder fyra olika tillägg .wncry, .wncrytt, .wcry eller .wncryt för att markera de krypterade filerna, men vi kan förvänta oss fler variationer när ransomwaren tar fart fart. För att släppa dessa tillägg och återställa filer måste användarna betala utpressarna upp till 600 dollar i Bitcoin; annars kommer den krypterade informationen att förstöras. @[e-postskyddad] fönstret öppnar en timer som räknar ner tiden tills data förstörs. Tyvärr finns det för närvarande ingen gratis dekrypteringsmjukvara som skulle hjälpa till att återställa krypterad data gratis.
Så när du väl har blivit smittad finns det egentligen ingenting du kan göra för att återställa konsekvenserna av attacken. Så det är mycket viktigare att vidta åtgärder och skydda din enhet innan något virus sätter sin fot på ditt system. Här är några steg du bör vidta för att förhindra WannaCry-infiltration.
Hur inaktiverar man SMB och förhindrar WannaCry-attack?
SMB-funktionen (Server Message Block) är den största sårbarheten som gör att ransomwaren kan infektera datorer. Eftersom den här funktionen är aktiverad på Windows som standard kan utpressare enkelt använda den för att utföra attacken. Därför rekommenderar vi starkt att inaktivera den om du inte använder den. Det är väldigt enkelt och du kan uppnå i tre grundläggande steg:
- Klicka på Windows-logotypen i det nedre vänstra hörnet av skärmen och skriv "Windows-funktioner" i sökfältet
- Öppna funktionsfönstret och gå till inställningar och leta efter SMB-posten. Avmarkera den och klicka på OK
- Starta om datorn
Du kan också inaktivera SMB via PowerShell. Vad du behöver göra är att skriva in "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". När funktionen har inaktiverats rekommenderar vi att du startar om datorn.