Mint tudják, most hatalmas támadások érik a számítógépeket szerte a világon. Ha Windows rendszeren dolgozik – potenciális kockázati csoportba tartozik. De ne essen pánikba, és ne próbálja újraindítani a számítógépet! Mentse el a fontos adatokat egy külső meghajtóra vagy a felhőbe, miközben minden működik. És menj pihenni. Ha később kiderül, hogy számítógépe még mindig fertőzött, egyszerűen újratelepítse a rendszert, és visszaállítja az adatokat a biztonsági másolatból.

Ebben a bejegyzésben szakértői tippeket gyűjtök össze, hogyan védekezhetsz az ellen wana vírus Decrypt0r. A bejegyzés frissül.

Kezelési javaslatok:

Győződjön meg arról, hogy engedélyezte a biztonsági megoldásokat.
- Telepítse a Microsoft hivatalos javítását (MS17-010), amely bezárja a támadás során használt SMB-kiszolgáló biztonsági rését.
- Győződjön meg arról, hogy a Rendszerfigyelő engedélyezve van a Kaspersky Lab termékekben.
- Ellenőrizze az egész rendszert. Miután észlelt egy rosszindulatú támadást MEM-ként: Trojan.Win64.EquationDrug.gen, indítsa újra a rendszert. Ellenőrizze újra, hogy az MS17-010 javítások telepítve vannak-e.

A támadás a jól ismert Microsoft Security Bulletin MS17-010 hálózati sebezhetőségén keresztül történt, ezt követően a fertőzött rendszerre egy szkriptkészletet telepítettek, amelyek segítségével a támadók elindították a titkosító programot.

„Minden Kaspersky Lab megoldás MEM:Trojan.Win64.EquationDrug.gen néven érzékeli ezt a rootkitet. A Kaspersky Lab megoldásai a támadás során használt zsarolóprogramokat is észlelik a következő ítéletekkel: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (a System Monitor komponenst engedélyezni kell, hogy észlelje ezt a kártevőt)" - jegyezte meg a cég képviselője.

Elmondása szerint a fertőzésveszély csökkentése érdekében azt tanácsolják a cégeknek, hogy telepítsenek egy speciális javítást a Microsofttól, ügyeljenek arra, hogy a biztonsági megoldások minden hálózati csomóponton engedélyezve legyenek, és a kritikus területek vizsgálatát is lefuttatják egy biztonsági megoldásban.

„A MEM:Trojan.Win64.EquationDrug.gen észlelése után újra kell indítania a rendszert; a jövőben az ilyen jellegű incidensek megelőzése érdekében használja a veszélybejelentő szolgáltatásokat annak érdekében, hogy időben megkapja az adatokat a legveszélyesebb célzott támadásokról és az esetleges fertőzésekről” – hangsúlyozta a Kaspersky Lab képviselője.

Szakembereink mára új felismerést és védelmet adtak hozzá rosszindulatú, Ransom:Win32.WannaCrypt néven ismert. Márciusban további védelmet is bevezettünk az ilyen jellegű kártevők ellen, valamint egy biztonsági frissítést, amely megakadályozza a rosszindulatú programok hálózaton való terjedését. Felhasználóink ingyenes vírusirtóés a Windows frissített verziói védettek. A felhasználókkal együttműködve további segítséget nyújtunk.

Ez egy ransomware vírus. Az ilyen vírusok meglehetősen népszerűek, és nem ez az első alkalom, hogy hackerek folyamodnak hozzájuk. Titkosító kriptográfia segítségével a vírus titkosítja a fertőzött számítógépen lévő fájlokat. Minden eszközön egyedi titkos kulcsot használ, amelyet maga generál. Más szóval, még ha visszafejti is az egyik számítógépen, egy másikon újra feloldja.

Hogyan kezeljük?

1. Készítsen biztonsági másolatot. Ha van biztonsági másolatod, akkor nem félsz ettől a vírustól, még akkor sem, ha eljutott hozzád.
2. Legyen mindig naprakész az információbiztonsági hírekről. Követni kell az olyan információs blogokat, mint a Security Lab, a Dark Reading és mások.
3. Ez a vírus speciális sebezhetőségeket használ, amelyeket most az interneten ismertetnek, ezért ellenőriznie kell a hálózatokat, hogy vannak-e ezek a sérülékenységek. Ne nyissa meg a fájlt olyan személyektől, akiket nem ismer. Alapvetően a kriptográfusoktól származó leveleket a számviteli osztályok levelei vagy a közlekedési rendőrök által kifizetetlen pénzbírságok leple alatt küldik.

Wanna Cry vírus - az újfajta feltörték, a zsarolóprogramok a PC- és az Internet-felhasználókat a világ minden tájáról megrázták. Hogyan működik Szeretnék vírust Sírj, lehet-e védekezni ellene, és ha igen, hogyan?

Wanna Cry vírus leírása– a kategóriába tartozó kártevő típusa ransomware, ransomware. Amikor az áldozat merevlemezére kerül, a Wanna Cry a „kollégák” forgatókönyve szerint cselekszik, mint pl. TrojanRansom.Win32.zip, titkosítja az összes ismert bővítmény összes személyes adatát. Amikor megpróbálja megtekinteni a fájlt, a felhasználó a képernyőn az n-edik pénzösszeg kifizetésére vonatkozó felszólítást lát, állítólag ezután a támadó utasításokat küld a zárolás feloldására.

A pénz zsarolása gyakran egy speciálisan létrehozott fiók SMS-feltöltésével történik, de be Utóbbi időben Ehhez egy anonim fizetési szolgáltatást használnak. bitcoin.

Wanna Cry vírus – hogyan működik. A Wanna Cry nevű program WanaCrypt0r 2.0, amely kizárólag PC-ket támad OC Windows rendszeren. A program egy "lyukat" használ a rendszerben, hogy behatoljon - Microsoft biztonsági közlemény MS17-010 amelynek létezése korábban ismeretlen volt. A Ebben a pillanatban nem tudni biztosan, hogyan fedezték fel a hackerek az MS17-010 biztonsági rést. Van egy verzió a víruskereső szoftvergyártók szabotázsáról a kereslet fenntartása érdekében, de természetesen senki nem írja le maguknak a hackerek intelligenciáját.

Sajnos a Wanna Cry vírus terjedése a legegyszerűbb módon – e-mailen keresztül – valósul meg. Amikor megnyit egy spam e-mailt, elindul a kódoló, és ezt követően szinte lehetetlen helyreállítani a titkosított fájlokat.

Wanna Cry vírus – védekezés, kezelés. A WanaCrypt0r 2.0 kihasználja a hálózati sebezhetőségeket Windows szolgáltatások. Ismeretes, hogy a Microsoft már kiadott egy "javítást" - csak futtassa a frissítést Windows Update előtt legújabb verzió. Érdemes megjegyezni, hogy csak azok a felhasználók tudják megvédeni számítógépüket és adataikat, akik megvásárolták a Windows licencelt verzióját - amikor megpróbálják frissíteni a „kalóz” rendszert, a rendszer egyszerűen nem megy át a teszten. Ne feledje azt is, hogy a Windows XP már nem frissül, ahogy természetesen a korábbi verziók sem.

Néhány egyszerű szabály betartásával megvédheti magát a Wanna Cry ellen:

• frissítse a rendszert időben – az összes fertőzött számítógépet nem frissítették
• licencelt operációs rendszert használjon
• ne nyissa meg a gyanús e-maileket
• ne kattintson a megbízhatatlan felhasználók által hagyott gyanús hivatkozásokra

Sajtóértesülések szerint a vírusirtó szoftvergyártók frissítéseket adnak ki a Wanna Cry leküzdésére, így a vírusirtó frissítését sem szabad elhalasztani.

Köszönjük, hogy felvette a kapcsolatot az Idecóval.

Reméljük, hogy elegendő elérhetőséget adott meg, hogy munkatársaink a lehető leghamarabb felvehessék Önnel a kapcsolatot.

Hozzájárulás a személyes adatok kezeléséhez

Az oldalon történő regisztrációval a felhasználó beleegyezését adja az Aideko LLC-nek, amelynek székhelye: 620144, Jekatyerinburg, st. Kulibina 2, 500. iroda, személyes adataik kezeléséhez az alábbi feltételekkel:

1. Hozzájárulnak személyes adataik automatizálási eszközökkel történő feldolgozásához.
2. Hozzájárul az alábbi személyes adatok kezeléséhez:
   1. Kapcsolattartási telefonszámok;
   2. Email cím;
   3. Munkavégzés helye és/vagy betöltött pozíció;
   4. Lakóhely vagy regisztrációs város.
3. A személyes adatok kezelésének célja: az oldal anyagaihoz való hozzáférés biztosítása, on-line webináriumok szolgáltatásához való hozzáférés, vagy a szerződéses kapcsolatok fejlesztési lehetőségeinek egyeztetéséhez szükséges dokumentumok elkészítése, beleértve a kereskedelmi ajánlatokat, specifikációkat, szerződéstervezeteket vagy fizetést. dokumentumokat.
4. A személyes adatok kezelése során a következő tevékenységekre kerül sor: gyűjtés, rendszerezés, felhalmozás, tárolás, pontosítás, felhasználás, zárolás, megsemmisítés.
5. A személyes adatok kezelésének alapja az Art. 24 Alkotmányok Orosz Föderáció; A „Személyes adatokról” szóló 152-FZ szövetségi törvény 6. cikke; Az Aideko LLC alapokmánya, mások szövetségi törvényekés jogi aktusok.
6. A személyes adatok harmadik félnek történő továbbítása csak az Orosz Föderáció jogszabályai által előírt módon vagy a Felhasználó további hozzájárulása esetén lehetséges.
7. Ez a beleegyezés az Aideko LLC átszervezésének vagy felszámolásának pillanatáig érvényes. A Hozzájárulást a Felhasználó a címre küldött írásbeli kérelemmel is visszavonhatja levelezési cím Ideko LLC.
8. A személyes adatok tárolása az Orosz Föderáció Kulturális Minisztériumának 2010. augusztus 25-i 558. számú, a „Tevékenység során keletkezett szabványos irányítási dokumentumok jegyzékének” jóváhagyásáról szóló rendeletével összhangban történik. kormányzati szervek, önkormányzatok és szervezetek, a tárolási időszakok megjelölésével" és egyéb, az archiválás és levéltári tárolás területére vonatkozó szabályozási jogszabályok.

Licencszerződés

az "Internet Gateway Ideco ICS 6" szoftverkomplexum tesztelésére vonatkozó jogok megadásáról

Az Ideco LLC engedélye a "Szoftverkomplexum "Internet gateway Ideco ICS 6" (a továbbiakban: "Program") számítógépes program használatára:

1. A Program használati jogára vonatkozó jelen licencet (a továbbiakban: "Licenc") a Licencadó - Ideko LLC - a személynek - a végfelhasználónak (a továbbiakban: "Engedélyes") adja, és tájékoztatást tartalmaz a korlátozásról. a Program, beleértve annak bármely összetevőjét, tesztelésére vonatkozó jogokat.
2. Ha nem ért egyet a Licenc feltételeivel, nem telepítheti, másolhatja vagy más módon nem használhatja a Programot vagy annak bármely összetevőjét, és törölnie kell azokat.
3. A Licenctulajdonos nem kizárólagos jogot biztosít a Licencvevőnek, amely magában foglalja a Program és összetevőinek a következő módokon történő használatát: reprodukálási jog, amelyet az indító telepítési jog korlátoz, a jelen Licencben meghatározott felhasználási terjedelemben. . A Program és összetevői használatának joga kizárólag megismerés és tesztelés céljából a jelen licencben meghatározott időponttól számított 1 (egy) hónapos időtartamra szól.
4. A programot úgy szállítjuk, ahogy van, a Licencadó minden általa ismert hibát kijavított, a további működés során lehetőség van a hibák észlelésére.
5. A Licencvevő tisztában van a Program azon lényeges funkcionális jellemzőivel, amelyekhez a használati jogokat megadják, és a Licencvevő viseli annak kockázatát, hogy a Program megfelel az elvárásoknak és szükségleteinek, valamint annak kockázatát, hogy megfelel a jogok feltételeinek és terjedelmének. elvárásainak és igényeinek megfelelően.
6. A Licencadó nem vállal felelősséget semmilyen veszteségért, kárért, függetlenül azok előfordulásának okától, (ideértve, de nem kizárólagosan a különleges, véletlen vagy következményes károkat, az elmaradt haszonból eredő veszteségeket, a kereskedelmi vagy termelési tevékenység megszakítását, üzleti információk, gondatlanság vagy bármely más kár), amelyek a Program és bármely összetevőjének használatából vagy használatának képtelenségéből erednek.
7. A Licencvevő telepítheti és használhatja a Program egy példányát egy számítógépen vagy kiszolgálón.
8. A program másolásvédelmi technológiákat tartalmaz, amelyek megakadályozzák a jogosulatlan másolást. Tilos a Program és bármely összetevőjének illegális másolása, a másolásvédelem eltávolítása vagy megváltoztatása.
9. A Licencvevő nem módosíthatja és visszafordíthatja a Programot és annak bármely összetevőjét, nem módosíthatja a programkódok szerkezetét, a programfunkciókat annak érdekében, hogy kapcsolódó termékeket hozzon létre, terjeszthessen vagy elősegítse a Program és bármely összetevőjének licenc nélküli példányainak terjesztését.
10. Tilos a Programot és annak bármely összetevőjét harmadik félnek bérbe adni és átruházni, valamint a Programot és bármely összetevőjét az interneten terjeszteni.
11. A Program használatára vonatkozó tesztidőszak lejártával a Licencvevő köteles a Programot és annak összes összetevőjét eltávolítani (törölni a számítógép memóriájából), törölni a Program és összetevőinek minden másolatát, és erről értesíteni a Licenctulajdonost, ill. megszerezni a Program használati jogát.

Globális hacker támadás mára számos számítógépet érintett Oroszországban és külföldön, beleértve a nagy távközlési cégek hálózatait, a bűnüldöző szerveket és az egészségügyi intézményeket.

Technológiai partnereink a Kaspersky Labtól tegnap, május 12-én 45 000 feltörési kísérletet regisztráltak 74 országban.

A vírusról

A hálózaton terjesztett titkosító program neve WannaCry (más néven Wana Decryptor, WanaCrypt0r és Wana Decrypt0r). Más ilyen típusú programokkal ellentétben ez a zsarolóprogram egyesíti a vírusok, trójaiak és hálózati férgek funkcióit. Behatolási mechanizmusként egyaránt használja az e-mailt (ez a mechanizmus lehetővé teszi a védő tűzfalak leküzdését), valamint az idén március 14-én közzétett SMB protokoll hálózati sebezhetőségét: Microsoft Security Bulletin MS17-010. Ez a sérülékenység lehetővé teszi a vírus terjedését a fertőzött hálózaton belül, és a sérülékeny eszközök maximális számát megfertőzve.

A Microsoft nem osztja ki automatikusan a biztonsági frissítéseket a Windows XP és a Windows 2003 rendszerhez, így az elavult szoftvereket használó felhasználók a legsebezhetőbbek.

Egy eszköz megfertőzésével a vírus titkosítja a merevlemezen lévő összes felhasználói adatot, és váltságdíjat követel azok visszafejtéséért.

Az Ideco ICS a Linux kernelen alapul, a külső interfészek összes portja alapértelmezés szerint zárva van, így védett a vírus által használt hálózati sebezhetőségeket használó támadásokkal szemben. A NAT technológia emellett megbízhatóan védi az összes hálózati eszközt a külső kapcsolatoktól. A vírus terjesztési lehetőségei között szerepel: e-mail, esetleg fertőzött oldalak és pendrive-ok, illetve a vírust a munkatársak is magukkal hozhatják más hálózatokban használt laptopokkal együtt. A vírus terjedésének minden mechanizmusát még nem tanulmányozták, és a közeljövőben támadókkal egészíthetik ki a támadás fokozása érdekében.

Az Ideco ICS beállítása

Végpontvédelem

• Telepítse a javítást a vírus által kihasznált biztonsági rést: MS17-010 .
• Az SMBv1 protokoll használatának blokkolása a következő parancs futtatásával számítógépeken és Windows-kiszolgálókon:
  dism /online /norestart /funkció letiltása /featurename:SMB1 Protocol
• Győződjön meg arról, hogy a víruskereső szoftver minden számítógépen telepítve van, fut, és naprakész aláírási adatbázisokat használ.
• Az elavult Windows XP és Windows 2003 operációs rendszert futtató számítógépeken manuálisan kell telepítenie a biztonsági javításokat, közvetlenül a hivatkozásokról letöltve:
  kb4012598 Windows XP SP3 rendszerhez
  kb4012598 Windows Server 2003 x86 rendszerhez
  kb4012598 Windows Server 2003 x64 rendszerhez

Ha a Windowst internetes átjáróként használja

Nem javasoljuk a Windows egyetlen verziójának futtatását sem az internethez közvetlenül kapcsolódó kiszolgálókon. A közelmúltban tájékoztatást tettek közzé a nagy számban sérülékenységek, amelyek nem mindegyikét fedik le az operációs rendszer meglévő adatbiztonsági frissítései. A WannaCry-szerű vírus közvetlenül egy internetes átjáróba való fertőzése az összes hálózati gazdagép megfertőzéséhez, kereskedelmi információk elvesztéséhez, valamint a hálózat botnet részeként való részvételéhez vezethet más erőforrások elleni támadásokban, beleértve a kormányzati forrásokat is.

A Windowst platformként használó szoftverek szintén nem tudják biztosítani a szükséges biztonsági szintet, mert a rendszer magja továbbra is sebezhető lesz. Ha olyan szoftvert használ, mint a Kerio Winroute, javasoljuk, hogy a lehető leghamarabb térjen át biztonságosabb és modernebb megoldásokra.

Az Ideco ICS biztonsági átjáró kényelmes, mert nem csak hardver- és szoftverrendszerként használható, hanem közvetlenül egy meglévő szerverre is telepíthető, vagy virtuális gépként telepíthető egy hypervisoron.

Május 12-től világszerte. Ez a zsarolóprogram behatol Operációs rendszer számítógépeken, amikor fájlt tölt le az internetről. Amikor egy számítógép ilyen vírust kap, a WannaCry különféle fájlokat titkosít - fényképeket, zenéket, filmeket, szöveges dokumentumokat, prezentációkat, archiválókat stb. A támadók 300 dollárt kicsikarnak a visszafejtésért. Hogyan kezeljük ezt a ransomware vírust?

A Kaspersky Lab szerint a támadásnak leginkább azok a számítógépek voltak kitéve, amelyekre nem voltak telepítve szoftverfrissítések, és kalózszoftverek voltak.

1 Hogyan működik a Wanna Cry vírus?

A WannaCry egy WanaCrypt0r 2.0 nevű program, amely csak Windows PC-ket támad meg. A program egy "lyukat" használ a rendszerben - Microsoft Security Bulletin MS17-010, amelynek létezése korábban ismeretlen volt.

2 Hogyan terjed WannaCry vírus?

A WannaCry vírus e-mailben terjed. A spam e-mail mellékletének megnyitása után elindul a kódoló, és ezt követően szinte lehetetlen helyreállítani a titkosított fájlokat.

3 Mire kell figyelnem, hogy ne fertőzzem meg a gépemet a WannaCry vírussal?

Nagyon figyeljen arra, hogy mit küldenek Önnek e-mailben. Ne nyissa meg a következő kiterjesztésű fájlokat: .alkalmazás, .vbsÉs .scr. A csalók több kiterjesztéssel is álcázhatnak egy rosszindulatú fájlt videónak, fényképnek vagy dokumentumnak (például avi.exe vagy doc.scr), írja a ru24.top.

Ilya Sachkov, a kiberbűnözés megelőzésével és kivizsgálásával foglalkozó Group-IB vezérigazgatója a következőket tanácsolja: "A WannaCry esetében megoldást jelenthet a problémára a tűzfal (tűzfal) 445-ös portjának blokkolása, amelyen keresztül a fertőzés megtörténik." A potenciál észlelésére rosszindulatú fájlok engedélyeznie kell a "Fájlkiterjesztések megjelenítése" opciót a Windows beállításaiban.

4 Mit tett a Microsoft, hogy megvédje az OC Windowst a WannaCry vírustól?

A Microsoft már kiadott egy "foltot" - csak futtasd Windows Update Frissítés a legújabb verzióra. Érdemes megjegyezni, hogy csak azok a felhasználók tudják megvédeni számítógépüket és adataikat, akik megvásárolták a Windows licencelt verzióját - amikor megpróbálják frissíteni a "kalóz" rendszert, a rendszer egyszerűen nem megy át a teszten. Ne feledje azt is, hogy a Windows XP már nem frissül, ahogy természetesen a korábbi verziók sem a Rorki.ru szerint.

5 A WannaCry vírus elleni védekezés legegyszerűbb módjai

Annak érdekében, hogy ne „elkapja” a WannaCry vírust a számítógépén, be kell tartania néhányat egyszerű szabályok Biztonság:

• frissítse a rendszert időben - az összes fertőzött számítógépet nem frissítették,
• licencelt operációs rendszert használ,
• ne nyissa meg a gyanús e-maileket,
• ne kövesse a megbízhatatlan felhasználók által hagyott gyanús linkeket.

Ahogy az elemzés kimutatta,

• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan.Win64.EquationDrug.gen
• Rendszerfigyelés engedélyezni kell)
• Védelem a hálózati támadások ellen engedélyezni kell).

a Kaspersky Lab jelentése.

A fertőzött hálózat gyógyítása, ha telepítve van egy Kaspersky Lab megoldás

1. Győződjön meg arról, hogy az alkatrész Rendszerfigyelésés minden modulja benne van:

1. Rendszerfigyelés, lásd a cikkben található utasításokat.

1. Védelem a hálózati támadások ellen.
2. Győződjön meg arról, hogy a funkció engedélyezve van Fájl víruskereső.
3. Futtasson egy feladatot Kritikus területek ellenőrzése
4. Csatlakoztassa a gazdagépet a hálózathoz.

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Győződjön meg arról, hogy a funkció engedélyezve van Valós idejű fájlvédelem.
4. cikkeket
5. Futtasson egy feladatot Kritikus területek ellenőrzése az esetleges szennyeződés mielőbbi észlelése érdekében.
6. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.
7. Végezzen teljes víruskeresést a rosszindulatú programok eltávolításához.
8. Csatlakoztassa a gazdagépet a hálózathoz.

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Győződjön meg arról, hogy a funkció engedélyezve van Valós idejű fájlvédelem.
4. Futtasson egy feladatot Kritikus területek ellenőrzése az esetleges szennyeződés mielőbbi észlelése érdekében.
5. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.
6. Végezzen teljes víruskeresést a rosszindulatú programok eltávolításához.
7. Csatlakoztassa a gazdagépet a hálózathoz.

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Győződjön meg arról, hogy a funkció engedélyezve van Fájl víruskereső.
4. Győződjön meg arról, hogy a funkció engedélyezve van Anti-Hacker.
5. Futtasson egy feladatot Teljes ellenőrzés az esetleges szennyeződés mielőbbi észlelése érdekében.
6. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.
7. Végezzen teljes víruskeresést a rosszindulatú programok eltávolításához.
8. Csatlakoztassa a gazdagépet a hálózathoz.

Hogyan lehet gyógyítani egy fertőzött hálózatot, ha harmadik féltől származó biztonsági megoldást telepítettek

Kihasznál ingyenes programok„Kaspersky Lab” a fertőzött számítógépek ellenőrzésére és fertőtlenítésére.

Helyi végrehajtás:

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Futtasson egy vizsgálati feladatot a Kaspersky Virus Removal Tool alkalmazásban. Ha nem tudja, hogyan kell végrehajtani a vizsgálatot, tekintse meg a cikkben található utasításokat.
4. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.
5. Végezzen teljes víruskeresést a rosszindulatú programok eltávolításához.
6. Csatlakoztassa a gazdagépet a hálózathoz.

Távoli végrehajtás:

1. Telepítse a hivatalos javítást a Microsofttól:
2. Helyezze el a Kaspersky Virus Removal Tool futtatható segédprogram fájlját egy nyilvános mappába.
3. Futtassa a segédprogramot egy távoli gazdagépen (távirányítón keresztül parancs sor, csoportházirend vagy a Kaspersky Security Center BAT-fájl használatával) a következő paranccsal:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

1. megosztás a nyilvános mappa neve.
2. Miután végrehajtotta ezt a parancsot egy távoli gazdagépen, a rendszer kezelés NÉLKÜL elvégzi az ellenőrzést, és létrejön egy napló a \\share\logs\ könyvtárban.

1. A fertőtlenítés végrehajtásához adja hozzá az -adinsilent -processlevel 1 paramétert a parancshoz

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

1. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Indítsa el a gazdagépet a Kaspersky Rescue Disk rendszerindító lemezéről. Ha nem tudja, hogyan hozhat létre indítólemezt a Kaspersky Rescue Disk számára, tekintse meg a cikkben található utasításokat.

1. Indítson el egy vizsgálati feladatot. Ha nem tudja, hogyan kell végrehajtani a vizsgálatot, tekintse meg a cikkben található utasításokat.
2. A MEM:Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert.
3. Végezzen teljes víruskeresést a rosszindulatú programok eltávolításához.
4. Csatlakoztassa a gazdagépet a hálózathoz.

Hogyan kerüljük el a hálózati fertőzést

Kaspersky Endpoint Security 8/10:

1. Telepítse a hivatalos javítást a Microsofttól:
2. Győződjön meg arról, hogy az alkatrész Rendszerfigyelésés minden modulja benne van:

1. Ha nem tudja, hogyan kell engedélyezni Rendszerfigyelés, lásd a cikkben található utasításokat.

1. Győződjön meg arról, hogy a funkció engedélyezve van Védelem a hálózati támadások ellen.
2. Győződjön meg arról, hogy a funkció engedélyezve van Fájl víruskereső.
3. cikk.

Kaspersky Security 10 for Windows Server:

1. Telepítse a hivatalos javítást a Microsofttól:
2. Győződjön meg arról, hogy a funkció engedélyezve van Valós idejű fájlvédelem.
3. Konfigurálja a terméket a cikkben található ajánlások szerint – ezek az ajánlások segítenek megvédeni a kiszolgálót a szerver hálózati erőforrásaihoz hozzáféréssel rendelkező gazdagépek távoli titkosításától.
4. Frissítse a víruskereső adatbázisokat.

Antivirus 8.0 Windows Servers EE-hez:

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Győződjön meg arról, hogy a funkció engedélyezve van Valós idejű fájlvédelem.
4. Frissítse a víruskereső adatbázisokat. Ha nem tudja, hogyan kell frissíteni az adatbázisokat, tekintse meg a cikkben található utasításokat.

Kaspersky Anti-Virus 6.0 R2 Windows munkaállomásokhoz:

1. Válassza le a fertőzött gazdagépet a vállalati hálózatról.
2. Telepítse a hivatalos javítást a Microsofttól:
3. Győződjön meg arról, hogy a funkció engedélyezve van Fájl víruskereső.
4. Győződjön meg arról, hogy a funkció engedélyezve van Anti-Hacker.
5. Frissítse a víruskereső adatbázisokat.

A Microsoft frissítéseinek terjesztése a Kaspersky Security Center segítségével

A Microsoft frissítéseinek a Kaspersky Security Center használatával terjesztéséhez használja az alábbi módszerek egyikét:

Fő módszer

1. Töltse le a szükséges frissítéseket a Microsoft erőforrásaiból:
2. Hozzon létre egy ideiglenes könyvtárat a helyi meghajtón, és helyezze oda a letöltött fájlokat (.msu).
3. Hozzon létre egy BAT fájlt az ideiglenes könyvtárban, és írjon bele egy parancsot, mint például:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

frissítésnév - a frissítési fájl neve.

Példa a parancsra:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

1. Ez a parancs a frissítés telepítésére utasítja anélkül, hogy a folyamatot a felhasználónak megmutatná, de ezután újraindítást kér, és körülbelül egy percet ad a megnyitott fájlok mentésére (az újraindítást nem lehet megtagadni).
   Ha warnrestart helyett forcerestartot ír, akkor a számítógép azonnal újraindul, és a megnyitott alkalmazások adatvesztéssel bezáródnak.

Ennek eredményeként az ideiglenes könyvtárnak tartalmaznia kell egy BAT fájlt és a szükséges MSU fájlokat.

Ha a parancs olyan számítógépen fut, amelyen a frissítés már telepítve van, vagy az nem megfelelő, akkor ennek nincs következménye.

1. A Kaspersky Security Centerben lépjen a szakaszra Távoli telepítés\Telepítési csomagokés válassza ki a lehetőséget Hozzon létre egy telepítőcsomagot a felhasználó által megadott programhoz.

1. Hozzon létre egy telepítőcsomagot, amely meghívja a létrehozott BAT fájlt, feltétlenül jelölje be a négyzetet másolja a teljes mappát a telepítőcsomagba- hogy az MSU fájlok benne legyenek a csomagban.

A BAT fájlban megadhatja több frissítés telepítését, és mindet elhelyezheti egy ideiglenes könyvtárba, de a telepítőcsomag mérete megnő.

1. Telepítse a létrehozott csomagot a számítógépére. Ezt megteheti a számítógépek közül az operációs rendszer típusa szerint (bármely számítógépcsoport helyi menüjében válassza ki a A program telepítéséhez), létrehozhat egy feladatot számítógépek csoportjához (in Felügyelt PC-k válassza ki a lista gyökerét vagy egy adott csoportot, lépjen a lapra Feladatokés hozzon létre egy telepítési feladatot), vagy más, Ön által megszokott módon.
   A csomag helyben is telepíthető.

Alternatív módszer

Munkakörülmények:

1. A termék kiterjesztett licencének megléte.
2. Feladat használata Keressen sebezhetőségeket és frissítéseket a Microsoft-szoftverekhez. A feladattal kapcsolatos további részletek a cikkben találhatók.

Teljesítmény:

1. Ugrás a szakaszra Továbbá → Program menedzsment → Frissítés.
2. A keresősávban keresse meg a szükséges Microsoft-frissítést.
3. A frissítés helyi menüjéből válassza a lehetőséget Telepítse a frissítést.
4. Telepítse a szükséges gazdagépekre.

A gazdagépek biztonságos engedélyezése, ha a Microsoft frissítései nincsenek telepítve

A számítógépek biztonságos bekapcsolása:

1. Válassza le a számítógépet a szervezet hálózatáról (húzza ki a hálózati kábelt).
2. A szolgáltatás beállításainál kapcsolja ki a szolgáltatást szerver: legördülő listában Indítás típusa válassza ki Tiltva.

1. Csatlakoztassa a tápkábelt, és frissítse az operációs rendszert minden újraindítással.

Győződjön meg arról, hogy a rendszer többé nem kéri a frissítések telepítését.

1. Kapcsolja be a szolgáltatást szerver.
2. Győződjön meg arról, hogy a következő összetevők engedélyezve vannak a Kaspersky Endpoint Security alkalmazásban:
   • Fájl víruskereső.
   • Rendszerfigyelés.
   • Védelem a hálózati támadások ellen.

Hasznos volt az információ?

Általános cikkek: Általános cikkek

Elemeztük a „WannaCry” nevű zsarolóvírussal történt fertőzésekkel kapcsolatos információkat, amelyekkel a vállalatok világszerte szembesültek 2017. május 12-én.

Ahogy az elemzés kimutatta, a támadás egy ismert hálózati sebezhetőségen keresztül történt Microsoft biztonsági közlemény MS17-010. Ezután a fertőzött rendszerre egy rootkitet telepítettek, amelynek segítségével a támadók elindították a titkosító programot.

A Kaspersky Lab összes megoldása ezt a rootkitet MEM:Trojan.Win64.EquationDrug.gen néven észleli, a támadáshoz használt titkosítókat pedig a következők szerint:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• PDM:Trojan.Win32.Generic (összetevők észleléséhez Rendszerfigyelés engedélyezni kell)
• Intrusion.Win.DoublePulsar.a (összetevők észleléséhez Védelem a hálózati támadások ellen engedélyezni kell).

1. Telepítse a Microsoft hivatalos javítását, amely bezárja a támadásban használt sebezhetőséget:
2. Győződjön meg arról, hogy a biztonsági megoldások minden hálózati csomóponton engedélyezve vannak.
3. Frissítse az összes használt Kaspersky Lab termék adatbázisát.

Szakértőink rosszindulatú programmintákat elemeznek annak megállapítására, hogy az adatok visszafejthetők-e.

A WannaCry támadásokkal kapcsolatos további információkért lásd: