Круглосуточно для вас

WannaCry Atack/

Wanna Crypt шифровальщик и обновления старых систем XP, 8, Windows server 2003

  1. Пришел Май, Познакомьтесь с WannaCry.
  2. Wanna название вируса шифровальщика который начал свою деятельность скажем так 12 мая 2017 года заразив в 90 странах компьютеры пользователей и компаний. Microsoft официально выпустила патчи для старых операционных систем которые более не поддерживаются и являются устаревшими. Полный список и все ссылки приведу в конце статьи.
  3. Как проявляет себя Wanna ?
  4. Как и все вирусы шифровальщики в процессе шифрования трудно заметить если вы случайно сами не увидели что файлы меняются и становятся с другим расширением. К примеру с этим вирусом зашифрованные файлы будут выглядеть так : название файла.png.WNCRY
  5. Ниже предоставлена карта заражения вирусом стран в первые часы заражения и распространения,карта от компании Sumantec.
  6. Далее как проявляет вирус после того как зашифровал файлы, пользователю будет показано сообщение и можно выбрать подходящий язык. Которое сообщает что ваши файлы заражены и перейдите к действиям об оплате скажем так.
  7. Второе окно показывает сколько и как вы должны заплатить, перевести 300 биткойнов. А так же таймер для обратного отсчета.
  8. Фон рабочего стола и другие фоновые картинки показывают сообщение :
  9. Зашифрованные файлы имеют двойное расширение, например: название файла.doc.WNCRY. Ниже представленно как это выглядит:
  10. Также в каждой папке есть исполняемый файл @WanaDecryptor@.exe для дешифровки после выкупа(возможно но врятли), а также текстовый документ @Please_Read_Me@.txt в котором есть что почитать пользователю(тоже возможно но врятли).
  11. Вирус шифрует файлы со следующими расширениями:
  12. Хочу заметить что среди расширений которые шифрует WannaCry нет расширения 1С которое используется в России.
  13. Так же прошу обратить внимание на самое главное в востановлении ваших файлов после заражения. Возможно если у вас включена защита системы а именно теневое копирование тома и работает uac система контроля учетных записей а она работает скорей всего если вы не отключали. То вирус предложит отключить защиту системы для не возможности восстановления зашифрованных файлов а именно удаленных после шифрования. Конечно в таком случае не в коем роде не соглашаться с отключением. Выглядит примерно так:
  14. Bitcoin кошельки мошенников.
  15. Здесь самое интересное, как растет сумма на кошельке мошенников. Bitcoin wallet:
  16. 1BANTZQqhs6HtMXSZyE2uzud5TJQMDEK3m
  17. 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  18. 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  19. 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  20. понаблюдайте заходя хотя бы раз в день на сколько выросла прибыль мошенников и вы удивитесь поверьте ! Это обычный Wallet Bitcoin сервис в котором любой желающий может за регистрировать себе кошелек, нет не чего страшного если вы посмотрите статистику пополнения кошелька.
  21. WannaCry 1.0 распространялся при помощи спама и сайтов. Версия 2.0 идентична первой версии но в нее добавили червя который распространялса самостоятельно попадая на компьютеры жертвы через протокол SMBv1.

  22. Корпорация Microsoft на борьбе с Wanna:
  23. Microsoft предлагает установить пакеты обновлений для пользователей старых операционных систем:
  24. Скачать Windows Server 2003 SP2 x64
    Скачать Windows Server 2003 SP2 x86
    Скачать Windows XP SP2 x64
    Скачать Windows XP SP3 x86
    Скачать Windows XP Embedded SP3 x86
    Скачать Windows 8 x86
    Скачать Windows 8 x64
    Скачать Перейти на официальный blogs.technet.microsoft

    Что говорит Kaspersky ?
  25. На официальном блоге Kaspersky более подробней расписан процесс и есть несколько дополнений которые вы можете узнать, правда на английском языке.
  26. ПерейтиSecurelist .
  27. Дополнилось статьей support kaspersky от 15 май 2017г :
  28. Перейти .
  29. Так же вы можете просмотреть интерактивную карту кибер угроз и узнать распространение вируса в реальном времени:
  30. Перейти
    Intel malwaretech карта по вирусу WannaCry 2.0:
  31. Еще карта но именно по вирусу WannaCry2.0 распространение вируса в реальном времени(если карта после перехода не заработала обновите страницу):
  32. Перейти

    Видео Comodo Firewall 10 vs WannaCry Ransomware о технологии защиты:
    Comodo официальный сайт.

    596 вариантов WannaCry
  33. Независимая лаборатория AV-Test обнаружила 596 образцов WannaCrypt. Список хэшей SHA256:

  34. От автора:
  35. От себя добавлю так как использую защиту от Comodo is 10 и в довесок Mbam а также Malwarebytes Anti-Ransomware но лучший антивирус это вы сами. Как говориться береженого бог бережет а защита у меня такая потому что по мере работы мне приходится выполнять различные задачи в которых есть место просочиться вирусным атакам назовем их так.
  36. Отключите протокол SMB1 на время пока не установите обновления защиты или если он вам не нужен совсем с помощью командной строки, запускаете cmd от имени админстратора системы и с помощью dism отключаем протокол, команда :
  37. dism /online /norestart /disable-feature /featurename:SMB1Protocol
  38. А также другие методы включения и отключения протокола SMBv1,2,3 на официальном сайте Microsoft.
  39. Перейти
  40. В графическом интерфейсе отключения протокола можно сделать так: Панель управления> Установка и удаление программ(Удаление или изменение программы)> Включение или отключение компонентов Windows> далее картинка ниже.
  41. Закрытие портов firewall
  42. В командной строке набираем для закрытия 135 и 445 портов:
  43. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
    netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
  44. К стати некоторые компьютеры под управлением Windows XP не подверглись заражению по причине синего экрана. На зарубежных сайтах речь идет о том что такое быстрое распространение вируса привело то что многие используют Windows XP и 7. Которые не защищены от таких атак и используют старую версию протокола SMB. Ну это зарубежные сайты а у нас дела по другому обстоят и не распространяют почему то такую информацию в России.

  45. Интересно послушать:

Самое главное что не хватает в этой статье но есть в другой. Восстановите свои файлы или получите ключ для расшифровки:Перейти
polosa
RssYandex
Подписка на новости сайта
Ваш e-mail: