Вірус шифрувальник файлів wanna cry - як захиститися і врятувати дані, налаштування обладнання
Тепер уже можна з упевненістю сказати, що атака, яку кілька днів тому провів новий хитрий вірус-шифрувальник Wanna Cry - так само відомий як WannaCryptor або WanaDecryptor - наймасштабніша на момент написання статті не те що серед подібної зарази, а взагалі сама глобальна в історії . Інтернет ще ніколи так не трясло. Сотні тисяч домашніх і офісних комп'ютерів по всьому світу були заражені, але найбільше знову постраждала Україна. В основному тому, що більшість встановлених Windows не ліцензійні, та й нормальної антивірусним захистом користуються не всі, сподіваючись на «авось».
Вірус-вимагач вдає із себе додаток, яке потрапивши на ПК шифрувати все підряд призначені для користувача файли на жорсткому диску: документи, фото, музику і т.п. При цьому використовується стійкий до злому крипто-алгоритм. Процес може зайняти деякий час і власник може навіть не здогадуватися, що механізм зараження вже у всю працює на його машині.
Далі шкідлива програма видає на робочому столі вікно-попередження з заголовком Wanna Decryptor 2.0 і пропонує купити ключ, що дозволяє розшифрувати дані, за деяку суму.
Користувачеві дається кілька днів на перерахування грошей, після чого ключ на сервері видаляється. Зазвичай це 300-600 $ в крипто-валюті BitCoin. Думаю зрозуміло, що навіть якщо Ви оплатите ці гроші, то декріптор для Wanna Cry все одно навряд чи прийде. Хоча, судячи зі зростання курсу біткоіни, дуже багато людей платять.
Відмінні риси Wanna Cryptor
Основна принципова відмінність нового зловредів від попередніх схожих різновидів полягає ось у чому. Раніше вірус-шифрувальник міг почати роботу на комп'ютері або ноутбуці тільки після того, як користувач сам запустить виконуваний файл, отриманий поштою або принесений з собою. Вимагач Wanna Cry прекрасно працює і без цього.
Як захиститися від шифрувальника
Для того, щоб убезпечити себе від можливої атаки вірусу-криптор, почніть з того, що зайдіть до служби Windows Update. Якщо є доступні оновлення - обов'язково встановіть їх.
Другим кроком я порекомендував би для вірності взагалі відключити підтримку повністю відключивши підтримку уразливого протоколу SMB (Samba) версії 1. Це буде особливо актуально домашнім користувачам, у яких один комп'ютер або ноутбук, та ще й підключений без роутера, безпосередньо до мережі провайдера. Щоб це зробити - запустіть командую рядок Віндовс з правами Адміністратора і введіть команду:
dism / online / norestart / disable-feature / featurename: SMB1Protocol
Натискаємо кнопку «Enter» і дивимося на результат.
Операція повинна бути успішно завершена.
Третім кроком варто обов'язково перевірити налаштування свого фаєрволла. Бажано щоб порти 135-139, 445 були закриті. Хоча б поки епідемія вірусу-шифрувальника не пройде. Якщо Ви користуєтеся стандартним брандмауером Windows і нічого стороннього не встановлено, то рекомендую створити в ньому відповідні правила. Для цього знову відкриваємо командний рядок з правами адміністратора і вводимо по черзі такі команди:
netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 135 name = "Block_TCP-135"
netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 137 name = "Block_TCP-137"
netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 138 name = "Block_TCP-138"
netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 139 name = "Block_TCP-139"
netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 5000 name = "Block_TCP-5000"
Після кожної команди натискаємо Enter і дивимося на результат - повинно бути «OK». Якщо для Вас це буде складно - скористайтеся простенької утилітою Windows Worms Doors Cleaner. Вона ніяких додаткових знань не вимагає - просто поставте в Disable всі пункти.
Четвертий крок - в обов'язковому порядку поновіть бази свого антивіруса! Якщо у Вас він взагалі не встановлений, то саме час його поставити.
Від себе можу порекомендувати безкоштовний антивірус Касперського. Дуже добре справляється зі своїми завданнями і не жере купу ресурсів.
Лікування шифрувальника Wanna Cry
На жаль, на термінальній стадії, коли файли вже зашифровані і вискочило вікно WannaDecryptor 2.0 з попередженням, вже пізно «пити Боржомі». Лікувати вже бестолку, адже розшифрувати вже зашифровані файли не вийде. А ось якщо зараза тільки проникла в операційну систему, тоді є шанс хоч щось ще врятувати. Перший з відомих ознак - це поява на робочому столі ярлика WannaCry. Ще одна ознака - завантаження процесора невідомим процесом. Що робити в цьому випадку?
1. Відключаємо ПК від Інтернету і перезавантажуємося в безпечний режим Windows.
2. Відкриваємо властивості ярлика декріптор і дивимося де розташовується сам виконуваний файл.
3. Видаляємо папку з вірусом.
Як правило в ній лежать ось такі файли:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taskse.exe, u.wnry
4. Завантажуємося в звичайному режимі і перевіряємо ОС хорошим антивірусом і встановлюємо патч Microsoft.
І ще порада - зашифровані файли з розширенням .wncry краще не видаляти. Є шанс, що фахівці антивірусних лабораторій з часом зможуть знайти ключ для розшифровки.