Програма-вимагач WannaCry – це нова широко поширена кіберпандемія, яка вже захопила в заручники понад 230 000 комп’ютерів. Завдяки нинішньому обсягу розповсюдження WannaCry наближається до рівня інших сумнозвісних кіберзагроз, таких як Cerber або Locky.
Тим не менш, що відрізняє WCry з цих двох найнебезпечніших паразитів минулого року є використання нових методів розповсюдження не потрібно жертвам натискати заражені посилання чи брати участь у придбанні програм-вимагачів у будь-якому іншому спосіб.
Зловмисне програмне забезпечення використовує методи та інструменти, які використовуються розвідкою США, щоб проникнути в комп’ютери та запустити шкідливий сценарій, щоб зробити дані користувача недоступними. Зокрема, програми-вимагачі використовують експлойт EternalBlue для націлювання на пристрої Windows з невиправленою уразливістю MS17-010. Цей пробіл у безпеці відкритий у версіях Windows, які більше не підтримуються та не отримують оновлень безпеки.
На щастя, у відповідь на останні події Microsoft випустила екстрені виправлення для Windows XP, Windows Server 2003, Windows 8 та кількох інших застарілих операційних систем. Але навіть оновлення програмного забезпечення може бути недостатнім, щоб запобігти атаці програм-вимагачів.
Нижче ми надамо інструкції, як вимкнути функцію SMB (блокування повідомлень сервера), яка використовується для розгортання шкідливих WanaCrypt0r файли на комп'ютері. Але перш ніж перейти до підручника, ми хочемо дати коротке визначення зловмисного програмного забезпечення та його поведінку на зараженому комп’ютері, щоб допомогти вам його легше розпізнати.
Wannacry використовує різні розширення для позначення зашифрованих файлів
Як ви могли помітити, у попередніх параграфах ми використовували різні назви для позначення вірусу WannaCry. Це пов’язано з тим, що вірус справді подорожує в різних формах і формах, які, швидше за все, буде складніше розпізнати та знищити.
Дослідження показало, що зараз вірус використовує чотири різні розширення .wncry, .wncrytt, .wcry або .wncryt, щоб позначити зашифровані файли, але ми можемо очікувати більших варіацій у міру того, як програма-вимагач піде швидкість. Щоб скинути ці розширення та відновити файли, користувачі повинні заплатити здирникам до 600 доларів у біткойнах; інакше зашифровані дані будуть знищені. @[електронна пошта захищена] у вікні відкривається таймер, який відраховує час до знищення даних. На жаль, наразі не існує безкоштовного програмного забезпечення для дешифрування, яке допомогло б відновити зашифровані дані безкоштовно.
Отже, якщо ви заразилися, ви нічого не можете зробити, щоб зменшити наслідки атаки. Тому набагато важливіше вжити заходів і захистити свій пристрій, перш ніж будь-який вірус потрапить у вашу систему. Ось кілька кроків, які ви повинні зробити, щоб запобігти проникненню WannaCry.
Як відключити SMB та запобігти атаці WannaCry?
Функція SMB (Server Message Block) є основною вразливістю, яка дозволяє програмі-вимагачі заражати комп’ютери. Оскільки ця функція ввімкнена в Windows за замовчуванням, вимагачі можуть легко використовувати її для здійснення атаки. Тому ми настійно рекомендуємо вимкнути його, якщо ви ним не користуєтеся. Це дуже просто, і ви можете досягти його за три основні кроки:
- Клацніть логотип Windows у нижньому лівому куті екрана та введіть «Функції Windows» у рядку пошуку
- Відкрийте вікно функції, перейдіть до налаштувань і знайдіть запис SMB. Зніміть позначку та натисніть OK
- Перезавантажте комп’ютер
Ви також можете вимкнути SMB за допомогою PowerShell. Що вам потрібно зробити, це ввести «Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol». Після вимкнення функції ми рекомендуємо перезавантажити комп’ютер.