Нова шкідлива програма-вимагач WannaCry (має також низку інших назв — WannaCry Decryptor, WannaCrypt, WCry та WanaCrypt0r 2.0), заявила про себе світу 12 травня 2017 року, коли файли на комп'ютерах у кількох закладах охорони здоров'я у Великобританії виявилися зашифрованими. Як незабаром з'ясувалося, у подібній ситуації опинилися компанії у десятках країн, а найбільше постраждали Росія, Україна, Індія, Тайвань. За даними Лабораторії Касперського, тільки в перший день атаки вірус був виявлений в 74 країнах.
Чим небезпечний WannaCry? Вірус шифрує файли різних типів(отримуючи розширення.WCRY, файли стають повністю нечитаними) і потім вимагає викуп у розмірі 600 дол. за розшифровку. Щоб прискорити процедуру переказу грошей, користувача залякують тим, що через три дні сума викупу збільшиться, а через сім днів файли взагалі неможливо буде розшифрувати.
Загрозі заразитися вірусом-шифрувальником WannaCry піддаються комп'ютери на базі операційних систем Windows. Якщо ви використовуєте ліцензійні версії Windowsі регулярно виконуєте оновлення системи, то можете не переживати, що вірус проникне у вашу систему саме цим шляхом.
Користувачам MacOS, ChromeOS та Linux, а також мобільних операційних систем iOSта Android атак WannaCry взагалі не варто боятися.
Що робити, якщо ви стали жертвою WannaCry?
Британське Національне агентство з боротьби зі злочинністю (NCA) рекомендує малому бізнесу, який став жертвою здирників і стурбований поширенням вірусу через мережу, вжити таких дій:
- Негайно ізолюйте комп'ютер, ноутбук чи планшет від корпоративної/внутрішньої мережі. Вимкніть Wi-Fi.
- Змініть драйвера.
- Не підключаючись до мережі Wi-Fi, безпосередньо підключіть комп'ютер до Інтернету.
- Оновіть операційну системуі решта ПЗ.
- Оновіть та запустіть антивірусник.
- Повторно підключіться до мережі.
- Здійсніть моніторинг мережевого трафікута/або запустіть сканування на віруси, щоб переконатися, що шифрувальник зник.
Важливо!
Файли, зашифровані вірусом WannaCry, неможливо розшифрувати ніким, крім зловмисників. Тому не витрачайте час і гроші на тих «ІТ-геніїв», які обіцяють вас позбавити цього головного болю.
Чи варто платити гроші зловмисникам?
Перші питання, які ставлять користувачі, які зіткнулися з новим вірусом-шифрувальником WannaCry, — як відновити файли та як видалити вірус. Не знаходячи безкоштовних та ефективних способіврішення, вони стоять перед вибором — чи платити гроші здирнику чи ні? Оскільки часто користувачам є що втрачати (у комп'ютері зберігаються особисті документи та фотоархіви), бажання вирішити проблему за допомогою грошей справді виникає.
Але NCA наполегливо закликає неплатити гроші. Якщо ж ви все-таки наважитеся це зробити, то майте на увазі таке:
- По-перше, немає жодної гарантії, що ви отримаєте доступ до своїх даних.
- По-друге, ваш комп'ютер і після оплати, як і раніше, може залишатися зараженим вірусом.
- По-третє, ви, швидше за все, просто подаруєте свої гроші кіберзлочинцям.
Як захиститись від WannaCry?
Які дії вжити, щоб запобігти зараженню вірусом, пояснює В'ячеслав Білашов, керівник відділу впровадження систем захисту інформації СКБ Контур:
Особливість вірусу WannaCry полягає в тому, що він може проникнути в систему без участі людини, на відміну від інших вірусів-шифрувальників. Раніше для дії вірусу вимагалося, щоб користувач виявив неуважність - перейшов за сумнівним посиланням з листа, який насправді йому не призначався, або скачав шкідливе вкладення. У випадку з WannaCry експлуатується вразливість, що є безпосередньо в операційній системі. Тому насамперед у групі ризику опинилися комп'ютери на базі Windows, на яких не встановлювалися оновлення від 14 березня 2017 року. Достатньо однієї зараженої робочої станціїзі складу локальної мережіщоб вірус поширився на інші з наявною вразливістю.
У постраждалих від вірусу користувачів є закономірним одне головне питання — як розшифрувати свою інформацію? На жаль, поки гарантованого рішеннянемає і навряд чи передбачається. Навіть після сплати зазначеної суми проблема не вирішується. До того ж ситуація може посилитися тим, що людина, сподіваючись відновити свої дані, ризикує використовувати нібито «безкоштовні» дешифрувальники, які насправді теж є шкідливими файлами. Тому головна порада, яку можна дати, — бути уважними і зробити все можливе, щоб уникнути подібної ситуації.
Що саме можна і необхідно зробити зараз:
1. Встановити останні оновлення.
Це стосується не лише операційних систем, а й засобів антивірусного захисту. Інформацію щодо оновлення Windows можна дізнатися.
2. Зробити резервні копії важливої інформації.
3. Бути уважними під час роботи з поштою та мережею інтернет.
Необхідно звертати увагу на вхідні листи із сумнівними посиланнями та вкладеннями. Для роботи з мережею Інтернет рекомендується використовувати плагіни, які дозволяють позбутися непотрібної реклами та посилань на потенційно шкідливі джерела.
Коротко: Для захисту даних від вірусів-шифрувальників можна використовувати зашифрований диск на основі крипто-контейнера, копію якого необхідно тримати у хмарному сховищі.
- Аналіз криптолокерів показав, що вони шифрують тільки документи і файл контейнер від зашифрованого диска не представляє інтерес для криптолокерів.
- Файли всередині такого крипто-контейнера недоступні для вірусу, коли диск вимкнено.
- А оскільки Зашифрований Диск включається тільки в момент, коли необхідно попрацювати з файлами, то висока ймовірність, що криптолокер не встигне його зашифрувати або виявить себе до цього моменту.
- Навіть якщо криптолокер зашифрує файли на такому диску, ви зможете легко відновити резервну копіюкрипто-контейнера диска з хмарного сховищаяка автоматично створюється раз на 3 дні або частіше.
- Зберігати копію контейнера диска у хмарному сховищі безпечно та легко. Дані в контейнері надійно зашифровані, а значить Google або Dropbox не зможуть зазирнути всередину. Завдяки тому, що крипто-контейнер це один файл, закачуючи його в хмару ви насправді закачуєте всі файли та папки, які всередині нього.
- Крипто-контейнер може бути захищений не лише довгим паролем, а й електронним ключем типу rutoken з дуже стійким паролем.
Віруси-шифрувальники (ransomware) такі як Locky, TeslaCrypt, CryptoLocker та криптолокер WannaCry призначені для вимагання грошей у власників заражених комп'ютерів, тому їх ще називають "програми-вимагачі". Після зараження комп'ютера вірус шифрує файли всіх відомих програм (doc, pdf, jpg ...) і потім вимагає гроші за їх зворотне розшифрування. Постраждалій стороні, швидше за все, доведеться заплатити пару сотень доларів, щоб розшифрувати файли, оскільки це єдиний спосіб повернути інформацію.
Якщо інформація дуже дорога ситуація безвихідна, і ускладнюється тим, що вірус включає зворотний відлік часу і здатний самоліквідуватися не давши вам можливості повернути дані якщо ви дуже довго думатимете.
Переваги програми Rohos Disk Encryption для захисту інформації від криптовірусів:
- Створює крипто-контейнер для надійного захисту файлів та папок.
Використовується принцип шування на льоту та стійкий алгоритм шифрування AES 256 Біт. - Інтегрується з Google Drive, Dropbox, Хмара Mail.ru , Yandex Диск.
Rohos Disk дозволяє цим службам періодично сканувати крипто-контейнер і завантажувати в хмару тільки зміни зашифрованих даних, завдяки чому хмара зберігає кілька ревізій крипто-диска. - Утиліта Rohos Disk Browser дозволяє працювати з крипто-диском так, щоб інші програми (у тому числі й віруси) не мали доступу до цього диску.
Кріпто-контейнер Rohos Disk
Програма Rohos Disk створює крипто-контейнер та букву диска для нього в системі. Ви працюєте з таким диском як завжди, всі дані на ньому автоматично шифруються.
Коли крипто-диск вимкнений, він недоступний для всіх програм, у тому числі й для вірусів шифрувальників.
Інтеграція з хмарними сховищами
Програма Rohos Disk дозволяє розмістити крипто-контейнер у папці служби хмарного сховища та періодично запускати процес синхронізації крипто-контейнера.
Підтримувані служби: Google Drive, Dropbox, Хмара Mail.ru, Yandex Диск.
Якщо крипто-диск був включений, сталося зараження вірусом і вірус почав шифрувати дані на крипто-диску у вас є можливість відновити образ крипто-контейнера з хмари. Для відомості - Google Drive і Dropbox здатні відстежувати зміни у файлах (ревізії), зберігають лише змінені частини файлу і тому дозволяють відновити одну з версій крипто-контейнера з недавнього минулого (зазвичай це 30-60 днів залежно від вільного місцяна Google Drive).
Утиліта Rohos Disk Browser
Rohos Disk Browser дозволяє відкривати крипто-контейнер у режимі провідника без того, щоб робити диск доступним на рівні драйвера для всієї системи.
Переваги такого підходу:
- Інформація з диска відображається лише у Rohos Disk Browser
- Жодна інша програма не може отримати доступ до даних з диска.
- Користувач Rohos Disk Browser може додавати файл або папку, відкрити файл та робити інші операції.
Повний захист даних від шкідливих програм:
- Файли не доступні іншим програмам, зокрема Windows.
-
Зараження зазнали вже понад 200 000 комп'ютерів!
Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.
-
Найбільшого удару було завдано по російським користувачам та компаніям. У тому числі «Мегафон», РЗ та, за непідтвердженою інформацією, Слідчий Комітет та МВС. Ощадбанк і МОЗ також повідомили про атаки на свої системи.
За розшифровку даних зловмисники вимагають викуп від 300 до 600 доларів у биткоинах (близько 17 000-34 000 рублів).
Як встановити офіційний ISO-образ Windows 10 без використання Media Creation Tool
Інтерактивна карта зараження (Клікні по карті) 
Вікно з вимогою викупу 
Шифрує файли наступних розширень
Незважаючи на націленість вірусу атаки корпоративного сектора, звичайний користувач також не застрахований від проникнення WannaCry і можливої втрати доступу до файлів.
-
Інструкція із захисту комп'ютера та даних у ньому від зараження:
1. Виконайте інсталяцію програми Kaspersky System Watcher , яка оснащена вбудованою функцією відкату змін, що виникли від дій шифрувальника, якій таки вдалося обійти засоби захисту.
2. Користувачам антивірусника від «Лабораторії Касперського» рекомендується перевірити, щоб було включено функцію «Моніторинг системи».
3. Користувачам антивірусника від ESET NOD32 для Windows 10 впроваджено функцію перевірки нових доступних оновлень ОС. Якщо ви подбали заздалегідь і вона була у вас включена, то всі необхідні нові Оновлення Windowsбудуть встановлені і ваша система буде повністю захищена від даного вірусу WannaCryptor та інших схожих атак.
4. Також у користувачів продуктів ESET NOD32 є така функція в програмі, як детектування ще невідомих загроз. Цей методзаснований на використання поведінкових, евристичних технологій.
Якщо вірус веде себе як вірус – найімовірніше, це вірус.
Технологія хмарної системи ESET LiveGrid з 12 травня відбивала дуже успішно всі напади атак даного вірусу і все це відбувалося ще до надходження до оновлення сигнатурних баз.
5. Технології ESET надають захищеність у тому числі й пристроям з минулими системами Windows XP, Windows 8 та Windows Server 2003 (рекомендуємо відмовитися від використання даних застарілих систем). З-за вельми виникла високого рівняПогрози, для даних ОС, Microsoft вирішила випустити оновлення. Завантажити їх.
6. Для зниження до мінімуму загрози заподіяння шкоди вашому ПК, необхідно в терміновому порядку виконати оновлення своєї версії Windows 10: Пуск - Параметри - Оновлення та безпека - Перевірка наявності оновлень (в інших випадках: Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та встановити).
7. Виконайте встановлення офіційного патчу (MS17-010) від Microsoft, який виправляє помилку сервера SMB, через яку може проникнути вірус. Цей серверзадіяний у цій атаці.
8. Перевірте, щоб на вашому комп'ютері були запущені та у робочому стані всі наявні інструменти безпеки.
9. Перевірте віруси всієї системи. При оголенні шкідливої атаки під назвою MEM: Trojan.Win64.EquationDrug.gen, перезавантажте систему.
І ще раз вам рекомендую перевірити, щоб були встановлені патчі MS17-010.
В даний час фахівці "Лабораторії Касперського", "ESET NOD32" та інших антивірусних продуктів, ведуть активну роботу над написанням програми для дешифрування файлів, що допоможе користувачам заражених ПК для відновлення доступу до файлів.