Epidemija ransomwarea WannaCry: što se dogodilo i kako se zaštititi. Kako ažurirati Windows za zaštitu od WannaCry.

Kao što znate, sada je u tijeku masovni napad na računala diljem svijeta. Ako radite na Windowsima – u potencijalnoj ste rizičnoj skupini. Ali nemojte paničariti i ne pokušavajte ponovno pokrenuti računalo! Bolje spremite važne podatke na vanjski disk ili u oblak dok sve radi. I idi se odmoriti. Ako se kasnije ispostavi da je vaše računalo još uvijek zaraženo, jednostavno ponovno instalirajte sustav i vratite podatke iz sigurnosne kopije.

U ovom ću postu prikupiti savjete stručnjaka kako se zaštititi od wana virus Dekriptiraj0r. Post će biti ažuriran.

Preporuke za liječenje:

Provjerite jeste li omogućili sigurnosna rješenja.
- Instalirajte službenu zakrpu (MS17-010) od Microsofta koja zatvara ranjivost SMB poslužitelja korištenu u ovom napadu.
- Provjerite je li System Monitor omogućen u Kaspersky Lab proizvodima.
- Provjerite cijeli sustav. Nakon otkrivanja zlonamjernog napada kao MEM: Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav. Ponovno provjerite jesu li instalirane zakrpe MS17-010.

Napad se dogodio putem poznate mrežne ranjivosti Microsoft Security Bulletin MS17-010, nakon čega je na zaraženi sustav instaliran set skripti pomoću kojih su napadači pokrenuli program za šifriranje.

“Sva rješenja Kaspersky Laba detektiraju ovaj rootkit kao MEM:Trojan.Win64.EquationDrug.gen. Kaspersky Lab rješenja također otkrivaju ransomware korišten u ovom napadu sa sljedećim presudama: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (komponenta System Monitor mora biti omogućena za otkrivanje ovog zlonamjernog softvera)", istaknuo je predstavnik tvrtke.

Prema njegovim riječima, kako bi se smanjio rizik od zaraze, tvrtkama se savjetuje da instaliraju posebnu Microsoftovu zakrpu, uvjere se da su sigurnosna rješenja uključena na svim mrežnim čvorovima, te također pokrenu skeniranje kritičnih područja u sigurnosnom rješenju.

“Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, trebate ponovno pokrenuti sustav; ubuduće, za sprječavanje takvih incidenata, koristite usluge izvješćivanja o prijetnjama kako biste pravodobno dobili podatke o najopasnijim ciljanim napadima i mogućim infekcijama,” naglasio je predstavnik Kaspersky Laba.

Danas su naši stručnjaci dodali otkrivanje i zaštitu od novog malware, poznat kao Ransom:Win32.WannaCrypt. U ožujku smo također predstavili dodatnu zaštitu od zlonamjernog softvera ove prirode, zajedno sa sigurnosnim ažuriranjem koje sprječava širenje zlonamjernog softvera mrežom. Korisnici našeg besplatni antivirus i ažurirane verzije sustava Windows su zaštićene. Radimo s korisnicima na pružanju dodatne pomoći.
Ovo je ransomware virus. Takvi su virusi prilično popularni, a ovo nije prvi put da hakeri posežu za njima. Koristeći enkripcijsku kriptografiju, virus šifrira datoteke na zaraženom računalu. Na svakom uređaju koristi jedinstveni tajni ključ koji sam generira. Drugim riječima, čak i ako ga dešifrirate na jednom računalu, ponovno ćete ga dešifrirati na drugom.

Kako se nositi s tim?

1. Napravite sigurnosne kopije. Ako imate sigurnosnu kopiju, ne bojite se ovog virusa, čak i ako vas uhvati.
2. Uvijek budite u tijeku s novostima o informacijskoj sigurnosti. Potrebno je pratiti informativne blogove kao što su Security Lab, Dark Reading i drugi.
3. Ovaj virus koristi specifične ranjivosti koje su sada opisane na Internetu, morate provjeriti svoje mreže za te ranjivosti. Ne otvarajte datoteku od ljudi koje ne poznajete. U osnovi, pisma kriptografa šalju se pod krinkom pisama računovodstvenih odjela ili neplaćenih kazni prometne policije.

Wanna Cry virus - nova vrsta hakiran, ransomware je zadrhtao korisnike računala i interneta diljem svijeta. Kako radi Hoćeš virus Plač, može li se obraniti od njega i ako može kako?

Opis virusa Wanna Cry– vrsta zlonamjernog softvera koji pripada kategoriji ransomware, ransomware. Kada udari u žrtvin hard disk, Wanna Cry se ponaša prema scenariju svojih "kolega", npr. TrojanRansom.Win32.zip, šifrirajući sve osobne podatke svih poznatih proširenja. Kada pokušava pregledati datoteku, korisnik na ekranu vidi zahtjev za uplatu n-tog iznosa novca, navodno će nakon toga napadač poslati upute za otključavanje.

Često se iznuđivanje novca provodi SMS dopunom posebno stvorenog računa, ali u novije vrijeme Za to se koristi usluga anonimnog plaćanja. bitcoin.

Virus Wanna Cry - kako radi. Wanna Cry je program tzv WanaCrypt0r 2.0, koji napada isključivo računala na OC Windows. Program koristi "rupu" u sustavu da prodre - Microsoftov sigurnosni bilten MS17-010čije postojanje je dosad bilo nepoznato. Na ovaj trenutak nije pouzdano poznato kako su hakeri otkrili ranjivost MS17-010. Postoji verzija o sabotaži proizvođača antivirusnog softvera za održavanje potražnje, ali, naravno, nitko ne otpisuje inteligenciju samih hakera.

Nažalost, širenje virusa Wanna Cry odvija se na najjednostavniji način - putem elektroničke pošte. Kada otvorite neželjenu e-poštu, koder se pokreće, a šifrirane datoteke nakon toga gotovo je nemoguće vratiti.

Wanna Cry virus - kako se zaštititi, liječenje. WanaCrypt0r 2.0 iskorištava ranjivosti u mreži Windows usluge. Poznato je da je Microsoft već izdao "zakrpu" - samo pokrenite ažuriranje Windows Update prije Najnovija verzija. Važno je napomenuti da će samo korisnici koji su kupili licenciranu verziju sustava Windows moći zaštititi svoje računalo i podatke - kada pokušavaju ažurirati "piratski" sustav, sustav jednostavno neće proći test. Također morate zapamtiti da se Windows XP više ne ažurira, kao, naravno, i ranije verzije.

Možete se zaštititi od Wanna Cryja slijedeći nekoliko jednostavnih pravila:

  • ažurirajte sustav na vrijeme – sva zaražena računala nisu ažurirana
  • koristite licencirani OS
  • ne otvarajte sumnjive e-mailove
  • nemojte klikati na sumnjive poveznice nepouzdanih korisnika

Prema medijskim izvješćima, proizvođači antivirusnog softvera objavit će nadogradnje za borbu protiv Wanna Cryja, tako da ni antivirusnu nadogradnju ne treba odgađati.

Hvala što ste kontaktirali Ideco.

Nadamo se da ste dali dovoljno kontakt podataka kako bi naše osoblje bilo u mogućnosti kontaktirati Vas što je prije moguće.

Suglasnost za obradu osobnih podataka

Registracijom na stranici, korisnik daje svoj pristanak tvrtki Aideko LLC, koja se nalazi na adresi 620144, Jekaterinburg, ul. Kulibina 2, ured 500, za obradu svojih osobnih podataka uz sljedeće uvjete:

  1. Daje se privolu za obradu njihovih osobnih podataka pomoću alata za automatizaciju.
  2. Daje se privolu za obradu sljedećih osobnih podataka:
    1. Kontakt brojevi telefona;
    2. Email adresa;
    3. Mjesto rada i/ili radno mjesto;
    4. Grad prebivališta ili prijave.
  3. Svrha obrade osobnih podataka je: omogućavanje pristupa materijalima stranice, pristup on-line webinar usluzi ili priprema dokumenata za dogovor o mogućnostima razvoja ugovornih odnosa, uključujući komercijalne ponude, specifikacije, nacrte ugovora ili dokumente o plaćanju.
  4. Tijekom obrade osobnih podataka provodit će se sljedeće radnje: prikupljanje, sistematizacija, prikupljanje, pohranjivanje, pojašnjenje, korištenje, blokiranje, uništavanje.
  5. Osnova za obradu osobnih podataka je čl. 24 Ustava Ruska Federacija; Članak 6. Saveznog zakona br. 152-FZ "O osobnim podacima"; Povelja Aideko LLC, drugi savezni zakoni i pravni akti.
  6. Prijenos osobnih podataka može se izvršiti trećim stranama samo na način propisan zakonodavstvom Ruske Federacije ili nakon primitka dodatne suglasnosti od Korisnika.
  7. Ovaj pristanak vrijedi do trenutka reorganizacije ili likvidacije Aideko doo. Također, Korisnik može povući privolu slanjem pisanog zahtjeva na adresu poštanska adresa Ideko doo.
  8. Pohranjivanje osobnih podataka provodi se u skladu s Nalogom Ministarstva kulture Ruske Federacije od 25. kolovoza 2010. br. 558 o odobrenju „Popisa standardnih dokumenata za upravljanje nastalih tijekom aktivnosti vladine agencije, lokalne samouprave i organizacije, s naznakom razdoblja pohrane "i drugim regulatornim pravnim aktima u području arhiviranja i arhivskog skladištenja.

Licencni ugovor

o davanju prava na testno korištenje programskog kompleksa "Internet Gateway Ideco ICS 6"

Licenca Ideco LLC za pravo korištenja računalnog programa "Softverski kompleks "Internet gateway Ideco ICS 6" (u daljnjem tekstu "Program"):

  1. Ovu licencu za pravo korištenja Programa (u daljnjem tekstu „Licenca“) osobi – krajnjem korisniku (u daljnjem tekstu „Stjecatelj licence“) dodjeljuje Davatelj licence – Ideco LLC i sadrži informacije o ograničenju prava na testiranje korištenja Programa, uključujući bilo koju njegovu komponentu.
  2. Ako se ne slažete s uvjetima Licence, ne smijete instalirati, kopirati ili na drugi način koristiti Program ili bilo koju njegovu komponentu i morate ih ukloniti.
  3. Davatelj licence dodjeljuje primatelju licence neisključivo pravo, koje uključuje korištenje Programa i njegovih komponenti na sljedeće načine: pravo na reprodukciju, ograničeno pravom instaliranja pokretača, u opsegu korištenja predviđenom ovom Licencom . Pravo korištenja Programa i njegovih komponenti daje se isključivo u svrhu upoznavanja i testiranja u razdoblju od 1 (jednog) mjeseca od datuma navedenog u ovoj licenci.
  4. Program se isporučuje takav kakav jest, Davatelj licence je otklonio sve njemu poznate greške, ostaje mogućnost otkrivanja grešaka tijekom daljnjeg rada.
  5. Stjecatelj licence je upoznat s bitnim funkcionalnim značajkama Programa za koje se dodjeljuju prava korištenja, te snosi rizik da Program ispuni njegova očekivanja i potrebe, kao i rizik ispunjavanja uvjeta i opsega prava. u skladu s njegovim očekivanjima i potrebama.
  6. Davatelj licence neće biti odgovoran za bilo kakve gubitke, štete, bez obzira na razloge njihovog nastanka, (uključujući, ali ne ograničavajući se na posebne, slučajne ili posljedične štete, gubitke povezane s izgubljenom dobiti, prekid komercijalnih ili proizvodnih aktivnosti, gubitak poslovne informacije, nemara ili bilo koje druge štete) proizašle iz korištenja ili nemogućnosti korištenja Programa i bilo koje njegove komponente.
  7. Stjecatelj licence može instalirati i koristiti jednu kopiju Programa na jednom računalu ili poslužitelju.
  8. Program uključuje tehnologije zaštite od kopiranja za sprječavanje neovlaštenog kopiranja. Zabranjeno je nezakonito kopiranje Programa i bilo koje njegove komponente, uklanjanje ili mijenjanje zaštite od kopiranja.
  9. Stjecatelj licence ne smije modificirati i dekompilirati Program i bilo koju njegovu komponentu, mijenjati strukturu programskih kodova, programske funkcije, kako bi stvorio povezane proizvode, distribuirati ili omogućiti distribuciju nelicenciranih kopija Programa i bilo koje njegove komponente.
  10. Nije dopušteno iznajmljivati ​​i prenositi Program i bilo koju njegovu komponentu trećim stranama, kao ni distribuirati Program i bilo koju njegovu komponentu na Internetu.
  11. Po isteku testnog razdoblja za korištenje Programa, Stjecatelj licence je dužan deinstalirati Program i sve njegove komponente (izbrisati iz memorije računala), izbrisati sve kopije Programa i njegovih komponenti, te o tome obavijestiti Davatelja licence, ili steći pravo korištenja Programa.

Globalno hakerski napad trenutno je zahvatio mnoga računala u Rusiji i inozemstvu, uključujući mreže velikih telekomunikacijskih kompanija, agencija za provođenje zakona i medicinskih ustanova.

Naši tehnološki partneri iz Kaspersky Laba su jučer, 12. svibnja, zabilježili 45.000 pokušaja hakiranja u 74 zemlje.

O virusu

Program za šifriranje distribuiran na mreži nazvan je WannaCry (aka Wana Decryptor, WanaCrypt0r i Wana Decrypt0r). Za razliku od drugih programa ove vrste, ovaj ransomware kombinira funkcije virusa, trojanaca i mrežnih crva. Kao mehanizme prodora koristi i e-poštu (ovaj mehanizam omogućuje prevladavanje zaštitnih vatrozida) i mrežnu ranjivost SMB protokola objavljenu 14. ožujka ove godine: Microsoftov sigurnosni bilten MS17-010. Ova ranjivost omogućuje virusu širenje unutar zaražene mreže i zarazu maksimalnog broja ranjivih uređaja.

Microsoft ne distribuira automatski sigurnosna ažuriranja za Windows XP i Windows 2003, tako da su korisnici koji koriste zastarjeli softver najranjiviji.

Inficiranjem uređaja virus kriptira sve korisničke podatke na tvrdom disku i traži otkupninu za njihovo dešifriranje.

Ideco ICS se temelji na Linux kernelu, svi portovi na vanjskim sučeljima su zatvoreni prema zadanim postavkama, tako da je zaštićen od napada koji koriste mrežne ranjivosti poput onih koje koristi ovaj virus. NAT tehnologija također pouzdano štiti sve mrežne uređaje od vanjskih veza. Među opcijama za širenje virusa su e-pošta, moguće zaražene stranice i flash diskovi, a virus mogu donijeti i zaposlenici zajedno s prijenosnim računalima koja se koriste u drugim mrežama. Svi mehanizmi širenja virusa još nisu proučeni i napadači ih mogu dopuniti kako bi pojačali napad u bliskoj budućnosti.

Postavljanje Ideco ICS-a

Zaštita krajnje točke

  • Instalirajte zakrpu da zatvorite ranjivost koju iskorištava virus: MS17-010.
  • Blokirajte korištenje SMBv1 protokola pokretanjem sljedeće naredbe na računalima i Windows poslužiteljima:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
  • Provjerite je li antivirusni softver na svim računalima instaliran, pokrenut i koristi li ažurirane baze podataka potpisa.
  • Na računalima sa zastarjelim operativnim sustavima Windows XP i Windows 2003 sigurnosne zakrpe morate instalirati ručno preuzimanjem s izravnih poveznica:
    kb4012598 za Windows XP SP3
    kb4012598 za Windows Server 2003 x86
    kb4012598 za Windows Server 2003 x64

Ako koristite Windows kao internetski pristupnik

Ne preporučujemo pokretanje bilo koje verzije sustava Windows na poslužiteljima koji su povezani izravno s internetom. Nedavno su objavljene informacije o u velikom broju ranjivosti, od kojih nisu sve pokrivene postojećim sigurnosnim ažuriranjima podataka OS-a. Infekcija virusom sličnim WannaCryju izravno na internetski pristupnik može dovesti do zaraze svih mrežnih računala, gubitka komercijalnih informacija i sudjelovanja mreže, kao dijela botneta, u napadima na druge resurse, uključujući vladine.

Softver koji koristi Windows kao platformu također ne može pružiti potrebnu razinu sigurnosti jer jezgra sustava će i dalje biti ranjiva. Ako koristite softver kao što je Kerio Winroute, preporučujemo prijelaz na sigurnija i modernija rješenja što je prije moguće.

Sigurnosni pristupnik Ideco ICS prikladan je po tome što se može koristiti ne samo kao hardverski i softverski sustav, već i instalirati izravno na postojeći poslužitelj ili se može postaviti kao virtualni stroj na hipervizoru.

U cijelom svijetu od 12. svibnja. Ovaj ransomware prodire Operacijski sustavi računala prilikom preuzimanja datoteke s Interneta. Kada računalo primi takav virus, WannaCry šifrira razne datoteke - fotografije, glazbu, filmove, tekstualne dokumente, prezentacije, arhive itd. Napadači iznuđuju 300 dolara za dešifriranje. Kako se nositi s ovim ransomware virusom?

Iz Kaspersky Laba kažu da su napadu najosjetljivija bila računala na kojima nisu instalirana ažuriranja softvera te je postojao piratski softver.

1 Kako radi virus Wanna Cry?

WannaCry je program pod nazivom WanaCrypt0r 2.0 koji napada samo Windows računala. Program koristi "rupu" u sustavu - Microsoft Security Bulletin MS17-010, čije postojanje dosad nije bilo poznato.

2 Kako se širi WannaCry virus?

Virus WannaCry širi se e-poštom. Nakon otvaranja privitka u neželjenoj e-pošti, koder se pokreće, a šifrirane datoteke nakon toga gotovo je nemoguće vratiti.

3 Na što trebam obratiti pozornost kako ne bih zarazio računalo virusom WannaCry?

Dobro obratite pozornost na ono što vam se šalje e-poštom. Nemojte otvarati datoteke s ovim ekstenzijama: .exe, .vbs i .scr. Prevaranti mogu upotrijebiti nekoliko proširenja kako bi zlonamjernu datoteku prikrili kao video, fotografiju ili dokument (na primjer, avi.exe ili doc.scr), piše ru24.top.

Ilya Sachkov, izvršni direktor Group-IB, tvrtke za prevenciju i istraživanje kibernetičkog kriminala, savjetuje: "U slučaju WannaCryja, blokiranje porta 445 na Firewallu (vatrozidu) kroz koji dolazi do infekcije može biti rješenje problema." Za otkrivanje potencijala zlonamjerne datoteke morate omogućiti opciju "Prikaži ekstenzije datoteka" u Windows postavkama.

4 Što je Microsoft učinio da zaštiti OC Windows od virusa WannaCry?

Microsoft je već izdao "zakrpu" - samo pokrenite Windows Update Ažurirajte na najnoviju verziju. Vrijedi napomenuti da će samo korisnici koji su kupili licenciranu verziju Windowsa moći zaštititi svoje računalo i podatke – prilikom pokušaja ažuriranja "piratskog" sustava sustav jednostavno neće proći test. Također morate zapamtiti da se Windows XP više ne ažurira, kao, naravno, i ranije verzije, prema Rorki.ru.

5 Najjednostavniji načini zaštite od virusa WannaCry

Kako ne biste "uhvatili" virus WannaCry na svom računalu, morate slijediti nekoliko jednostavna pravila sigurnost:

  • ažurirajte sustav na vrijeme - sva zaražena računala nisu ažurirana,
  • koristiti licencirani OS,
  • ne otvarajte sumnjive e-mailove,
  • ne slijedite sumnjive poveznice nepouzdanih korisnika.

Kako je analiza pokazala,

  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan.Win64.EquationDrug.gen
  • Praćenje sustava mora biti omogućen)
  • Zaštita od mrežnih napada mora biti omogućen).

izvješće Kaspersky Laba.

Kako izliječiti zaraženu mrežu ako je instalirano Kaspersky Lab rješenje

  1. Provjerite je li komponenta Praćenje sustava i uključeni su svi njegovi moduli:
  1. Praćenje sustava, pogledajte upute u članku.
  1. Zaštita od mrežnih napada.
  2. Provjerite je li značajka omogućena Antivirus datoteke.
  3. Pokrenite zadatak Provjera kritičnih područja
  4. Povežite host s mrežom.
  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Provjerite je li značajka omogućena Zaštita datoteka u stvarnom vremenu.
  4. članci
  5. Pokrenite zadatak Provjera kritičnih područja kako bi se što ranije otkrila moguća kontaminacija.
  6. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  7. Izvršite potpuno skeniranje virusa kako biste uklonili zlonamjerni softver.
  8. Povežite host s mrežom.
  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Provjerite je li značajka omogućena Zaštita datoteka u stvarnom vremenu.
  4. Pokrenite zadatak Provjera kritičnih područja kako bi se što ranije otkrila moguća kontaminacija.
  5. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  6. Izvršite potpuno skeniranje virusa kako biste uklonili zlonamjerni softver.
  7. Povežite host s mrežom.
  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Provjerite je li značajka omogućena Antivirus datoteke.
  4. Provjerite je li značajka omogućena Anti-haker.
  5. Pokrenite zadatak Puna provjera kako bi se što ranije otkrila moguća kontaminacija.
  6. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  7. Izvršite potpuno skeniranje virusa kako biste uklonili zlonamjerni softver.
  8. Povežite host s mrežom.

Kako izliječiti zaraženu mrežu ako je instalirano sigurnosno rješenje treće strane

Iskoristiti besplatni programi"Kaspersky Lab" za provjeru i dezinfekciju zaraženih računala.

Lokalno izvršenje:

  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Pokrenite zadatak skeniranja u Kaspersky Virus Removal Tool. Ako ne znate kako pokrenuti skeniranje, pogledajte upute u članku.
  4. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  5. Izvršite potpuno skeniranje virusa kako biste uklonili zlonamjerni softver.
  6. Povežite host s mrežom.

Daljinsko izvršenje:

  1. Instalirajte službenu Microsoftovu zakrpu:
  2. Postavite izvršnu pomoćnu datoteku Kaspersky Virus Removal Tool u javnu mapu.
  3. Pokrenite uslužni program na udaljenom hostu (putem daljinskog naredbeni redak, pravila grupe ili Kaspersky Security Center koristeći BAT datoteku) s naredbom:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. share je naziv javne mape.
  2. Nakon izvršavanja ove naredbe na udaljenom glavnom računalu, provjera će se izvršiti BEZ tretmana i kreirat će se zapisnik u direktoriju \\share\logs\
  1. Za izvođenje dezinfekcije naredbi dodajte parametre -adinsilent -processlevel 1

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Pokrenite host s diskete za pokretanje programa Kaspersky Rescue Disk. Ako ne znate kako stvoriti disk za pokretanje programa Kaspersky Rescue Disk, pogledajte upute u članku.
  1. Pokrenite zadatak skeniranja. Ako ne znate kako pokrenuti skeniranje, pogledajte upute u članku.
  2. Nakon otkrivanja MEM:Trojan.Win64.EquationDrug.gen, ponovno pokrenite sustav.
  3. Izvršite potpuno skeniranje virusa kako biste uklonili zlonamjerni softver.
  4. Povežite host s mrežom.

Kako izbjeći infekciju mreže

Kaspersky Endpoint Security 8/10:

  1. Instalirajte službenu Microsoftovu zakrpu:
  2. Provjerite je li komponenta Praćenje sustava i uključeni su svi njegovi moduli:
  1. Ako ne znate kako omogućiti Praćenje sustava, pogledajte upute u članku.
  1. Provjerite je li značajka omogućena Zaštita od mrežnih napada.
  2. Provjerite je li značajka omogućena Antivirus datoteke.
  3. članak.

Kaspersky Security 10 za Windows Server:

  1. Instalirajte službenu Microsoftovu zakrpu:
  2. Provjerite je li značajka omogućena Zaštita datoteka u stvarnom vremenu.
  3. Konfigurirajte proizvod u skladu s preporukama u članku - ove će preporuke pomoći u zaštiti poslužitelja od daljinske enkripcije s hostova koji imaju pristup mrežnim resursima poslužitelja.
  4. Ažurirajte antivirusne baze podataka.

Antivirusni program 8.0 za Windows Servers EE:

  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Provjerite je li značajka omogućena Zaštita datoteka u stvarnom vremenu.
  4. Ažurirajte antivirusne baze podataka. Ako ne znate kako ažurirati baze podataka, pogledajte upute u članku.

Kaspersky Anti-Virus 6.0 R2 za Windows radne stanice:

  1. Odspojite zaraženo računalo s mreže tvrtke.
  2. Instalirajte službenu Microsoftovu zakrpu:
  3. Provjerite je li značajka omogućena Antivirus datoteke.
  4. Provjerite je li značajka omogućena Anti-haker.
  5. Ažurirajte antivirusne baze podataka.

Kako distribuirati ažuriranja od Microsofta pomoću Kaspersky Security Centera

Za distribuciju ažuriranja od Microsofta koristeći Kaspersky Security Center, koristite jednu od sljedećih metoda:

Glavna metoda

  1. Preuzmite potrebna ažuriranja iz Microsoftovih resursa:
  2. Stvorite privremeni direktorij na svom lokalnom disku i tamo smjestite preuzete datoteke (.msu).
  3. Napravite BAT datoteku u privremenom direktoriju i upišite u nju naredbu poput:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

    naziv ažuriranja - naziv datoteke ažuriranja.

    Primjer naredbe:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

  1. Ova naredba daje upute za instaliranje ažuriranja bez prikazivanja postupka korisniku, ali zatim traži ponovno pokretanje i daje otprilike minutu za spremanje otvorenih datoteka (ne možete odbiti ponovno pokretanje).
    Ako napišete forcerestart umjesto warnrestart, računalo će se odmah ponovno pokrenuti, a otvorene aplikacije će se zatvoriti uz gubitak podataka.

    2. Kao rezultat toga, privremeni imenik trebao bi imati BAT datoteku i potrebne MSU datoteke.

Ako se naredba pokrene na računalu na kojem je ažuriranje već instalirano ili nije prikladno, neće biti posljedica.

  1. U Kaspersky Security Centeru idite na odjeljak Udaljena instalacija\Instalacijski paketi i odaberite opciju Napravite instalacijski paket za program koji odredi korisnik.
  1. Napravite instalacijski paket koji će pozvati stvorenu BAT datoteku, svakako potvrdite okvir kopirajte cijelu mapu u instalacijski paket- tako da su MSU datoteke uključene u paket.

U BAT datoteci možete navesti instalaciju nekoliko ažuriranja i sve ih smjestiti u privremeni direktorij, ali će se veličina instalacijskog paketa povećati.

  1. Instalirajte kreirani paket na svoje računalo. To se može učiniti iz odabira računala prema vrsti OS-a (u kontekstnom izborniku bilo koje grupe računala odaberite Instalirajte program), možete stvoriti zadatak za grupu računala (u Upravljana računala odaberite korijen popisa ili određenu grupu, idite na karticu Zadaci i izradite instalacijski zadatak), ili na drugi način na koji ste navikli.
    Paket se također može instalirati lokalno.

Alternativna metoda

Radni uvjeti:

  1. Prisutnost proširene licence za proizvod.
  2. Korištenje zadatka Potražite ranjivosti i ažuriranja za Microsoftov softver. Za više detalja o zadatku pogledajte članak.

Izvođenje:

  1. Idi na odjeljak DodatnoUpravljanje programomAžuriraj.
  2. U traci za pretraživanje pronađite potrebno Microsoftovo ažuriranje.
  3. Na kontekstnom izborniku ažuriranja odaberite Instalirajte ažuriranje.
  4. Instalirajte na potrebne hostove.

Kako sigurno omogućiti hostove ako Microsoftova ažuriranja nisu instalirana

Za sigurno uključivanje računala:

  1. Isključite računalo iz mreže organizacije (odspojite mrežni kabel).
  2. Onemogućite uslugu u postavkama usluge poslužitelj: na padajućem popisu Vrsta lansiranja Odaberi Onemogućeno.

  1. Spojite kabel za napajanje i ažurirajte OS uz sva ponovna pokretanja.

Uvjerite se da vas sustav više ne traži da instalirate ažuriranja.

  1. Uključite uslugu poslužitelj.
  2. Provjerite jesu li sljedeće komponente omogućene u Kaspersky Endpoint Security:
    • Antivirus datoteke.
    • Praćenje sustava.
    • Zaštita od mrežnih napada.

Jesu li informacije bile korisne?

Opći članci: Opći članci

Analizirali smo informacije o infekcijama ransomwareom pod nazivom “WannaCry” s kojim su se suočile tvrtke diljem svijeta 12. svibnja 2017. godine.

Kako je analiza pokazala, napad se dogodio kroz poznatu mrežnu ranjivost Microsoftov sigurnosni bilten MS17-010. Potom je na zaraženi sustav instaliran rootkit uz pomoć kojeg su napadači pokrenuli program za šifriranje.

Sva rješenja tvrtke Kaspersky Lab detektiraju ovaj rootkit kao MEM:Trojan.Win64.EquationDrug.gen, a kriptore korištene u ovom napadu kao:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (za otkrivanje komponenti Praćenje sustava mora biti omogućen)
  • Intrusion.Win.DoublePulsar.a (za otkrivanje komponenti Zaštita od mrežnih napada mora biti omogućen).
  1. Instalirajte službenu Microsoftovu zakrpu koja zatvara ranjivost korištenu u napadu:
  2. Provjerite jesu li sigurnosna rješenja omogućena na svim mrežnim čvorovima.
  3. Ažurirajte baze podataka svih korištenih Kaspersky Lab proizvoda.

Naši stručnjaci analiziraju uzorke zlonamjernog softvera kako bi utvrdili mogu li se podaci dešifrirati.

Za više informacija o napadima WannaCry pogledajte

Slični postovi