Kakav wanna virus. Što učiniti odmah kako biste izbjegli infekciju. Što učiniti ako je vaše računalo zaraženo

12. svibnja nekoliko tvrtki i odjela u različite zemlješirom svijeta, uključujući Rusiju, bili su ransomware virusi. Stručnjaci za informacijsku sigurnost identificirali su u njemu virus WanaCrypt0r 2.0 (aka WCry i WannaCry), koji šifrira neke vrste datoteka i mijenja im ekstenzije u .WNCRY.

Računala zaražena WannaCryjem blokiraju okvir s porukom da korisnik ima 3 dana da plati otkupninu (obično ekvivalent 300 USD u bitcoinu), nakon čega će se cijena udvostručiti. Ako ne uplatite novac u roku od 7 dana, datoteke će navodno biti nemoguće vratiti.

WannaCry pogađa samo Windows računala. Iskorištava ranjivost koju je Microsoft zakrpao u ožujku. Napadnuti su oni uređaji na kojima nije instalirana najnovija sigurnosna zakrpa. Računala običnih korisnika u pravilu se brzo ažuriraju, au velikim organizacijama za ažuriranje sustava odgovorni su posebni stručnjaci koji su često sumnjičavi prema ažuriranjima i odgađaju njihovu instalaciju.


WannaCry spada u kategoriju ransomware virusa, to je ransomware koji u pozadini, neprimjetan od strane korisnika, kriptira važne datoteke i programe te im mijenja ekstenzije, a zatim traži novac za dešifriranje. Prozor za zaključavanje prikazuje odbrojavanje vremena kada će datoteke biti trajno zaključane ili izbrisane. Virus može ući u računalo pomoću daljinskog napada kroz ranjivost poznatu hakerima, a nije zatvorena u operativnom sustavu. Kod virusa automatski se aktivira na zaraženom računalu i komunicira sa središnjim poslužiteljem, primajući upute koje informacije prikazati. Ponekad je hakeru dovoljno zaraziti samo jedno računalo i virus se lokalnom mrežom širi na druga računala.

Prema The Interceptu, WannaCry se temelji na procurjelim alatima koje koristi Agencija. nacionalna sigurnost SAD. Vjerojatno su za ubacivanje virusa u računala hakeri koristili ranjivost u sustavu Windows, koja je prije bila poznata samo američkim obavještajnim agencijama.

WannaCry virus opasno po tome što se može oporaviti čak i nakon formatiranja tvrdog diska, odnosno vjerojatno zapisuje svoj kod u područje skriveno od korisnika.

Rana verzija ovog virusa nazvana je WeCry, pojavila se u veljači 2017. i iznudila je 0,1 bitcoin (177 američkih dolara po trenutnom tečaju). WanaCrypt0r je poboljšana verzija ovog zlonamjernog softvera u koju napadači mogu unijeti bilo koji iznos i povećavati ga tijekom vremena. Programeri virusa su nepoznati i nije sigurno da oni stoje iza napada. Oni mogu prodati zlonamjerni softver svakome tko ga želi, primajući jednokratnu uplatu.

Poznato je da su organizatori napada 12. svibnja od dvadesetak žrtava primili ukupno najmanje 3,5 bitcoina, odnosno nešto više od 6 tisuća dolara. Nije poznato jesu li korisnici uspjeli otključati računala i vratiti šifrirane datoteke. Češće nego ne, žrtve hakera koji plate otkupninu zapravo dobiju ključ ili alat za dešifriranje datoteka, ali ponekad ne dobiju ništa zauzvrat.

Microsoft je 12. svibnja objavio sigurnosnu zakrpu za otkrivanje i neutralizaciju virusa Ransom:Win32/Wannacrypt. Može se instalirati preko Centra Windows ažuriranja". Kako biste zaštitili svoje računalo od WannaCryja, trebate instalirati sva ažuriranja za Windows i provjeriti radi li ugrađeni Windows Defender Antivirus. Osim toga, neće biti suvišno kopirati sve vrijedne podatke u oblak. Čak i ako su šifrirane na vašem računalu, svejedno ih možete vratiti iz pohrane u oblaku ili iz koša za smeće u koji idu izbrisane datoteke.

Da, ovaj virus je 12. svibnja jako glasno viknuo cijelom svijetu. Pokazalo se da Wanna Cry nije virus koji se tiho i mirno širi svijetom s računala na računalo, s kojim antivirusi postupno uče raditi i koji na kraju postaje jedan od optuženika na tablici prepoznatljivih virusa.

Ne, ovdje je sve puno kompliciranije. Virus se proširio svijetom u samo nekoliko sati. Posebno su stradale Rusija i Kina, Australija se još neko vrijeme držala, ali je i ona upala u ovu “jamu”.

Došlo je do govora vodećih svjetskih političara. Glasno se oglasio i jedan od čelnika Microsofta, koji je izravno optužio američke obavještajne službe za neodgovorno ponašanje. Činjenica je da je američki FBI posljednjih nekoliko godina istraživao Windows sustav tražeći razne nedostatke i rupe u zakonu. Za vlastite potrebe, naravno. Pronađene su rupe u zakonu - ne rade ni bogovi u Microsoftu, oni također imaju tendenciju griješiti.

Jedini je problem što su istraživanja američkih detektiva na neki način odjednom postala poznata cijelom informatičkom svijetu, odnosno onima koji su našli priliku da na njima profitiraju.

Zapravo, način na koji se virus Wanna Cry širi je tradicionalan:



Wannacry se također može pokrenuti kroz nepoznate exe ili js datoteke, do infekcije može doći i kroz grafičku datoteku (a što može biti primamljivije od seksi slike).

Postoje slučajevi kada je do infekcije došlo samo zato što je računalo bilo online. Ne zaobilazi svoju pozornost i tehnologije oblaka - njezini su propovjednici potpuno osramoćeni, nisu toliko zaštićeni, kao što nam se o tome stalno govori. Općenito, na prvi pogled na trenutnu situaciju, postoji rub s kojeg nema izlaza, ispred je zid, a nema se kamo vratiti.

U početku se činilo da je samo sistemski pogon "C:" postao predmetom pažnje virusa. Ali kako se situacija razvijala, pokazalo se da se virus proširio na prijenosne pogone, što je neočekivano - na Windows 10. O flash pogonima nema potrebe govoriti, oni samo "gore kao svijeće".

Kako se manifestira

Virus wanna cry ransomware koji je zarazio računalo manifestira se na sljedeći način:

Prvo, napadnuta datoteka dobiva novi nastavak - ".wncry".

Drugo, prvih osam znakova u nazivu datoteke dopunjeno je nizom "wanacry!".

Treće, i najvažnije, virus kriptira sadržaj datoteke, i to na takav način da ga nije moguće izliječiti, barem u nekom razumnom roku. I to se pokazalo dovoljnim za stvaranje problema u radu liječnika u Velikoj Britaniji, policije u Rusiji, upravitelja elektroničkih tvornica u Kini.

Četvrto, a to je već naprosto banalno i više od sto puta prošli su "dečki" iz programiranja - traže od 300 do 500 dolara za vraćanje datoteka, koje moraju biti prebačene pomoću BitCoina. Kažu da je to ipak učinilo 100 ljudi, relativno kap u moru Totalna tezina zahtijevajući liječenje, vjerojatno su planeri zla računali na mnogo više.

Sve što treba učiniti, virus vam govori u zasebnom prozoru pod zvučnim naslovom "Ups, vaše datoteke su šifrirane!". Štoviše, ovi nesretni programeri pobrinuli su se za uslugu lokalizacije: tekst za Nijemce - na njemačkom, za Novozelanđane - na engleskom, dok ga Rusi čitaju na ruskom. Već po konstrukciji fraza iskusni lingvisti mogu odrediti odakle dolaze ovi cyber banditi.


Da bi se riješio problem vraćanja informacija, Kaspersky, ili još više, bilo koji od poznatih kriptora neće raditi. Riješiti se virusa jednostavnim brisanjem datoteke također ne funkcionira.

Što učiniti u prvim trenucima

Čim postoji sumnja da je wannacry, preko Brisbanea i Calcutte, došao do vas u ulicu Lizyukov, čak i prije samog tretmana, učinite sljedeće:



Što učiniti uvijek dok ne kljunete

I opet, sjetite se onih operacija o kojima vam sistemski inženjer stalno govori:

  1. Budite u tijeku s najnovijim ažuriranjima softvera koji koristite, prvo sustav i instalirajte na svoje prijenosno računalo. Usput, Microsoft je vrlo brzo predložio metodu kako liječiti želju za plakanjem - preuzmite i instalirajte Najnovija verzija Windows 10 sustavi s promjenama napravljenim online. Neka Detaljan opis wanna cry virus, to je vjerojatnije za programere antivirusnih programa, ne još, čak iako je još uvijek nejasno kako dešifrirati datoteke, ali u Palo Altu su vrlo brzo implementirali zakrpe u svoje softverske proizvode.
  2. Uvijek napravite sigurnosnu kopiju svojih najvažnijih informacija. Trebalo bi postati pravilo da se s virusima nosite na ovaj način - svakog utorka i petka točno u 15 sati prekidaju se svi tekući radovi i izrađuju se sigurnosne kopije. Ako se takvo pravilo ne uvede, onda ćete sutra morati plakati o izgubljenih 100 milijuna profita i razmišljati kako ukloniti virus, ne o wanna cry, nego o Market Applause ili nečem trećem.
  3. Ako ne radite na mreži, onda se odspojite s nje, jer, da budem iskren, stalno smo povezani na Skype, na „kontakte“, samo iz navike, i odjednom će netko nazvati. Ne zaboravite otkazati aktivaciju.

Da, wanna cry nije napravio ništa novo - ista želja za novcem, ista želja da se postane poznat (iako slava neće ići dalje od "kuhinje"), ista igra nebrige i razdora u svijetu, od FBI-a i SAD-a State Department na loše organiziran rad s backupom i zaštitom informacija.

U virusu Wanna Cry - nova vrsta hakerski napad, ransomware, zadrhtao je korisnike računala i interneta diljem svijeta. Kako djeluje virus Wanna Cry, je li moguće zaštititi se od njega i ako može kako?

12. svibnja, računala rade operativni sustavi Windowsi diljem svijeta pogođeni su najmasovnijim napadom u povijesti. novije vrijeme. Riječ je o virusu Wanna Cry (WNCRY, Wana Decrypt0r 2.0) koji pripada klasi Ransomwarea, odnosno ransomwarea koji kriptira korisničke datoteke i traži otkupninu za vraćanje pristupa istima. U ovom slučaju riječ je o iznosima od 300 do 600 dolara koje žrtva mora prebaciti na određeni novčanik u bitcoinima. Iznos otkupnine ovisi o vremenu koje je prošlo od zaraze - nakon određenog intervala raste.

Napad ransomwarea oštetio je mnoge tvrtke i organizacije diljem svijeta, uključujući španjolsku telekomunikacijsku tvrtku Telefonicu, bolnice u Velikoj Britaniji i američku tvrtku za dostavu FedEx. Glavni udarac pao je na Ruski korisnici i poduzeća. Na ovaj trenutak WannaCry je uspio pogoditi oko 57.000 računala, uključujući korporativne mreže Ministarstva unutarnjih poslova, Ruskih željeznica i MegaFona. Sberbank i Ministarstvo zdravstva također su izvijestili o napadima na svoje sustave.

Širenje virusa Wanna Cry

Kako se ne biste pridružili onima čije je računalo zaraženo, potrebno je razumjeti kako zlonamjerni softver prodire u sustav. Računalo je zaraženo pomoću ranjivosti u SMB protokolu koji omogućuje daljinsko izvršavanje programskog koda. Temelji se na eksploataciji EternalBlue, stvorenoj unutar zidova američke Agencije za nacionalnu sigurnost (NSA) i objavljenoj od strane hakera.

Izvorna datoteka mssecsvc.exe pokreće drugu datoteku pod nazivom tasksche.exe. Zatim se provjerava domena prekidača, a zatim se stvara usluga mssecsvc2.0. Ova usluga izvršava datoteku mssecsvc.exe s različitom ulaznom točkom od one kada je prvi put pokrenuta. Drugo pokretanje dobiva IP adresu zaraženog stroja i pokušava se spojiti na TCP port 445 svake IP adrese unutar podmreže. Kada se zlonamjerni softver uspješno poveže s udaljenim računalom, uspostavlja se veza i prenose se podaci. Očigledno, negdje u procesu ovog prijenosa iskorištena je poznata ranjivost, koja je zatvorena MS ažuriranjem 17-010. Trenutačno ne postoji potpuno razumijevanje SMB prometa i pod kojim se uvjetima malware može širiti koristeći sigurnosnu rupu.

Datoteka tasksche.exe provjerava sve pogone, kao i mrežno dijeljene mape i povezane uređaje koji su povezani slovima poput 'C:/', 'D:/' itd. Zlonamjerni softver zatim traži datoteke s ekstenzijama koje su navedene u programu (i ispod) i šifrira ih pomoću 2048-bitne RSA enkripcije. Dok se datoteke šifriraju, stvara se mapa ‘Tor/’ u koju se stavlja datoteka tor.exe i 9 dll datoteka koje ona koristi. Dodatno se stvaraju taskdl.exe i taskse.exe. Prvi briše privremene datoteke, a drugi pokreće @ [e-mail zaštićen], koji korisniku prikazuje prozor sa zahtjevom za plaćanje. Datoteka @ [e-mail zaštićen] odgovoran samo za prikaz poruke. Enkripcija datoteke odvija se u pozadini pomoću tasksche.exe.

Datoteka tor.exe se pokreće sa @ [e-mail zaštićen] Ovaj novi proces počinje se povezivati ​​s Tor čvorovima. Na taj način WannaCry ostaje anoniman propuštajući sav svoj promet kroz Tor mrežu.

Kao što je tipično za ransomware, program također uklanja sve kopije u sjeni na žrtvinom računalu kako bi oporavak bio još teži. To se radi pomoću WMIC.exe, vssadmin.exe i cmd.exe

WannaCry koristi razne načine da vam pomogne u tome. Dakle, koristi ga attrib.exe za promjenu oznake +h (sakrij), a također i icacls.exe da da puna prava svim korisnicima: "icacls. /dodijeli svima:F /T /C /Q".

Važno je napomenuti da program ima modularnu arhitekturu. Vjerojatno su sve izvršne datoteke zapisane u njemu razliciti ljudi. Potencijalno, to može značiti da struktura programa može dopustiti pokretanje raznih zlonamjernih skripti.

Nakon dovršetka enkripcije, zlonamjerni softver prikazuje prozor za otkupninu za datoteke. Zanimljivo je da je prozor izvršna datoteka, a ne slika, HTA datoteka ili tekstualna datoteka.

Žrtve trebaju shvatiti da nitko ne jamči da nakon plaćanja otkupnine uređaj više neće biti paraliziran.

Što učiniti odmah kako biste izbjegli infekciju.

1. Microsoft je objavio popravak za problem EternalBlue u MS17-010, 14. ožujka 2017.

Stoga bi prva i najvažnija mjera zaštite od WannaCry trebala biti instaliranje ovog sigurnosnog ažuriranja za Windows.

Upravo je činjenica da mnogi korisnici i administratori sustava to još nisu učinili i razlog ovako velikog napada, čija šteta tek treba biti procijenjena. Istina, ažuriranje je dizajnirano za one verzije sustava Windows čija podrška još nije prestala. Zbog visoke razine prijetnje, Microsoft je također izdao ažuriranja za starije operativne sustave kao što su Windows XP, Windows 8 i Windows Server 2003. Preuzmite ih.

2. Kako biste smanjili prijetnju, morate hitno instalirati sva najnovija ažuriranja Windows OS-a: Start - Svi programi - Windows Update - Traži ažuriranja - Preuzmite i instalirajte.

3. Svaka organizacija koja ima SMB javno dostupan (portovi 139, 445) trebala bi odmah blokirati dolazni promet.

4. Ne smijemo zaboraviti na redoviti backup važnih podataka. Imajte na umu da WannaCry cilja sljedeće kategorije datoteka:

  • najčešći uredski dokumenti (.ppt, .doc, .docx, .xlsx, .sxi).
  • neke manje popularne vrste dokumenata (.sxw, .odt, .hwp).
  • arhive i medijske datoteke (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • datoteke e-pošte (.eml, .msg, .ost, .pst, .edb).
  • baze podataka (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • projektne datoteke i izvorne kodove (.php, .java, .cpp, .pas, .asm).
  • ključevi i certifikati za šifriranje (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • grafički formati (.vsd, .odg, .raw, .nef, .svg, .psd).
  • datoteke virtualnog stroja (.vmx, .vmdk, .vdi).

5. Zlonamjeran softver može doći e-poštom. Žrtva dobiva infekciju klikom na zlonamjerni privitak. Najčešće je riječ o datotekama s ekstenzijama js i exe, kao i dokumentima sa zlonamjernim makronaredbama (na primjer, Microsoft Word datoteke). Stoga vam preporučamo da budete oprezni u vezi s porukama koje dolaze e-poštom i drugim kanalima.

6. Obavezno koristite ažurirani antivirusni program u načinu praćenja, ako je moguće, provjerite sustav za prijetnje. Jedini antivirus koji pronalazi virus: ESET NOD32. Ako se aktivnost MEM:Trojan.Win64.EquationDrug.gen otkrije i eliminira, ponovno pokrenite sustav i zatim provjerite je li MS17-010 instaliran. Trenutno je poznato osam naziva virusa:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

Čak i ako sustav nije ažuriran i WannaCry je ušao na računalo, korporativna i kućna ESET NOD32 rješenja uspješno otkrivaju i blokiraju sve njegove izmjene.

P.S: ako se infekcija još uvijek ne može izbjeći, još uvijek je nemoguće platiti napadače. Prvo, čak i u slučaju prijenosa novca na navedeni Bitcoin novčanik, nitko ne jamči dešifriranje datoteka. Drugo, ne možete biti sigurni da se napad na isto računalo neće ponoviti i da kibernetički kriminalci neće tražiti veliku otkupninu. I, konačno, treće, plaćanje “usluge” otključavanja bit će ohrabrenje za one koji provode kriminalne aktivnosti na webu i poslužiti im kao poticaj za nove napade.

ransomware virus WannaCry, ili Wana dekriptor, pogodio je desetke tisuća računala diljem svijeta. Dok napadnuti čekaju rješenje problema, korisnici koji još nisu pogođeni trebaju koristiti sve moguće linije obrane. Jedan od načina da se riješite virusna infekcija a za zaštitu od distribucije iz WannaCryja je zatvoriti portove 135 i 445, kroz koje ne samo WannaCry, već i većina trojanaca, backdoorova i drugih zlonamjernih programa prodiru u računalo. Postoji nekoliko načina za pokrivanje ovih rupa.


Metoda 1. Zaštita od WannaCry - pomoću vatrozida

Vatrozid, poznat i kao vatrozid, u klasičnom smislu, je zid koji odvaja dijelove zgrada kako bi ih zaštitio od požara. Računalni vatrozid radi na sličan način – štiti računalo spojeno na internet od nepotrebnih informacija filtriranjem pristiglih paketa. Većina vatrozidnih programa može se fino podesiti, uklj. i zatvoriti određene luke.


Postoje mnoge vrste vatrozida. Najjednostavniji firewall je standardni Windows alat koji pruža osnovnu zaštitu i bez kojeg računalo ne bi izdržalo ni 2 minute u "čistom" stanju. Vatrozidi trećih strana - poput onih ugrađenih u antivirusni programi- raditi mnogo učinkovitije.

Prednost vatrozida je u tome što blokiraju sve veze koje ne odgovaraju navedenom skupu pravila, tj. rade po principu "zabranjeno je sve što nije dopušteno". Zbog toga, kada koristite vatrozid za zaštitu od virusa WannaCry, veća je vjerojatnost da ćete morati otvoriti potrebne portove nego zatvoriti nepotrebne. Možete provjeriti radi li vatrozid Windows 10 tako da otvorite postavke programa kroz pretraživanje i odete na napredne opcije. Ako su portovi otvoreni prema zadanim postavkama, možete zatvoriti 135 i 445 stvaranjem odgovarajućih pravila kroz postavke vatrozida u odjeljku dolaznih veza.

Međutim, u nekim slučajevima vatrozid se ne može koristiti. Bez njega će biti teže pružiti zaštitu od zlonamjernog softvera WannaCry, ali će se bez većih poteškoća moći zatvoriti najočiglednije rupe.


Učinkovit način zaštite od Wana Descrypt0r ilustriran je u videu!

Metoda 2. Blokiranje širenja virusa s Windows Worms Doors Cleaner

Windows Worms Čistač vrata- ovaj jednostavan program teži samo 50 KB i omogućuje vam da zatvorite portove 135, 445 i neke druge jednim klikom od virusa WannaCry.

Windows Worms Doors Cleaner možete preuzeti s poveznice: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

Glavni prozor programa sadrži popis portova (135–139, 445, 5000) i kratka informacija o njima - za koje usluge se koriste, jesu li otvoreni ili zatvoreni. Pored svakog priključka nalazi se poveznica na službenu Microsoftovu sigurnosnu politiku.

  1. Za zatvaranje portova s ​​Windows Worms Doors Cleaner by WannaCry, morate kliknuti na gumb Onemogući.
  2. Nakon toga, crvene križiće zamijenit će zelene kvačice, a pojavit će se natpisi koji pokazuju da su portovi uspješno blokirani.
  3. Nakon toga program je potrebno zatvoriti, a računalo ponovno pokrenuti.

Metoda 3. Zatvaranje portova onemogućavanjem usluga sustava

Logično je da portovi nisu potrebni samo virusima kao što je WannaCry - u normalnim uvjetima koriste ih sistemske usluge koje većini korisnika nisu potrebne i koje je lako onemogućiti. Nakon toga više neće biti potrebe za otvaranjem portova i malware ne može ući u računalo.

Zatvaranje priključka 135

Port 135 koristi usluga DCOM (Distribuirani COM), koji je potreban za povezivanje objekata na različitim strojevima u lokalnoj mreži. Tehnologija se rijetko koristi u modernim sustavima, tako da se usluga može sigurno onemogućiti. To se može učiniti na dva načina - pomoću posebnog uslužnog programa ili putem registra.

Pomoću uslužnog programa usluga je onemogućena na sljedeći način:

Na Windows Server 2003 i starijim sustavima morate izvršiti niz dodatnih operacija, ali budući da je virus WannaCry opasan samo za moderne verzije OS-a, nema smisla dirati ovu točku.

Putem registra, port iz virusnog programa WannaCry zatvara se na sljedeći način:

  1. 1. Pokrenut je uređivač registra (regedit u prozoru Run).
  2. 2. Potražite ključ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
  3. 3. Parametar EnableDCOM mijenja se iz Y u N.
  4. 4. Računalo se ponovno pokreće.

Registar možete uređivati ​​samo s administratorskog računa.

Zatvaranje priključka 445

Port 445 koristi usluga NetBT- mrežni protokol koji starim programima koji se oslanjaju na NetBIOS API omogućuje rad na modernim mrežama TCP/IP. Ako na računalu nema takvog drevnog softvera, port se može sigurno blokirati - to će zatvoriti glavni ulaz za širenje virusa WannaCry. To možete učiniti putem postavki mrežne veze ili uređivača registra.

Prvi način:

  1. 1. Otvaraju se svojstva veze koja se koristi.
  2. 2. Otvaraju se svojstva TCP/IPv4.
  3. 3. Pritisnut je gumb "Napredno ...".
  4. 4. Na kartici WINS potvrdite okvir pored "Onemogući NetBIOS preko TCP/IP-a".

To morate učiniti za sve mrežne veze. Osim toga, vrijedno je onemogućiti uslugu pristupa datotekama i pisaču ako se ne koristi - postoje slučajevi kada WannaCry preko nje pogodi računalo.

Drugi način:

  1. 1. Otvara se uređivač registra.
  2. 2. NetBT parametri se traže u odjeljku ControlSet001 unosa sustava.
  3. 3. Parametar TransportBindName je uklonjen.

Isto treba učiniti u sljedećim odjeljcima:

  • ControlSet002;
  • CurrentControlSet.

Nakon dovršetka uređivanja računalo se ponovno pokreće. Imajte na umu da će onemogućavanje NetBT-a zaustaviti DHCP uslugu.

Zaključak

Dakle, kako biste se zaštitili od širenja virusa WannaCry, morate provjeriti jesu li ranjivi portovi 135 i 445 zatvoreni (za to možete koristiti razne usluge) ili uključiti vatrozid. Osim toga, sva ažuriranja sustava Windows moraju biti instalirana. Kako biste izbjegli napade u budućnosti, preporuča se uvijek koristiti najnoviju verziju antivirusnog softvera.

Dogodio se najveći kibernetički napad u povijesti. Virus Wanna Cry ("Želim plakati") zarazio je desetke tisuća Windows računala iz 70 zemalja svijeta. Zaraženi strojevi bili su blokirani prozorom s natpisom “Pažnja. Važne datoteke su šifrirane. Da biste ponovno dobili pristup, prebacite 300 USD. Virus je najviše pogodio bolnice, banke, telekomunikacijske tvrtke i vladine agencije. Pročitajte više o WannaCryju i kako se obični korisnici mogu zaštititi od njega u ovom članku.

Kako radi virus WannaCry

Virus WannaCry se širi preko porta 445, koji koristi servis za pristup datotekama. Omogućeno je prema zadanim postavkama na svim Windows računalima. WannaCry iskorištava ranjivost u zastarjelom SMBv1 protokolu, koji je također omogućen na standardnim postavkama. WannaCry dolazi na računalo sa zaraženih stranica ili zajedno s virusima koji prosljeđuju port 445 ovom računalu.


Razmjeri hakerskog napada, koji su mediji nazvali cyber apokalipsom, objašnjavaju činjenicom da su hakeri iz grupe The Shadow Brokers dobili pristup razvoju američke Agencije za nacionalnu sigurnost. Kako navodi Politiko, napadači su koristili špijunski softver NSA.

Kakvu je štetu virus izazvao

Stotine tvrtki diljem svijeta prijavile su pokušaje napada. U Rusiji su napad najavile MegaFon, Sberbank i mnoge druge telekomunikacijske tvrtke. Stradali su i resursi Ministarstva unutarnjih poslova, no napadi su odbijeni bez problema i izbjegnuto je curenje podataka.


U Britaniji su zbog napada paralizirane bolnice, u Njemačkoj su hakeri onesposobili upravljačke sustave u jednom od sedam regionalnih dispečerskih centara, što je uzrokovalo poremećaje u prometu vlakova. U Španjolskoj je velika telekomunikacijska kompanija pretrpjela štetu.


Karta zabilježenih napada

Nije Microsoft kriv

Microsoft je objavio popravak za problem ETERNALBLUE još u ožujku 2017. u biltenu MS17-010. Ali kao što se često događa, mnoge tvrtke i korisnici zanemarili su ažuriranje.

Kako provjeriti prijetnju

Korak 2. U stupcu Priključak za provjeru unesite vrijednost 445 i pritisnite Provjerite priključak.


Korak 3. Ako servis odgovori na zahtjev porukom:» Pogreška: Nisam mogao vidjeti vašu uslugu na 93.81.179.239 na portu (445) Razlog: isteklo vrijeme za vezu"- port 445 na vašem računalu je zatvoren. Siguran si.

Ako je port 445 otvoren, postoji opasnost od zaraze vašeg računala virusom WannaCry. U tom slučaju upotrijebite upute u nastavku.

Kako zatvoriti port 445 i zaštititi se od virusa

Korak 1. Pokrenite " Upravljačka ploča».

Korak 2. Idite na " Programi».


Korak 3. Odaberite " Uključite ili isključite značajke sustava Windows».


Korak 4. Poništite okvir " Podrška za dijeljenje datoteka SMB 1.0/CIFS", pritisnite " u redu" i ponovno pokrenite računalo.


Nakon onemogućavanja ove standardne komponente, više neće biti opasnosti od zaraze virusom WannaCry.

Slični postovi