Если ваш компьютер или сразу несколько устройств в домашней или рабочей сети поразил вирус Wannacry – читайте нашу статью. Здесь вы узнаете, как защититься и не допустить заражения, а также как правильно расшировать зашифрованные данный

Важность этих знаний подтверждается информацией о более чем 150 тысячах заражённых в 2017-м году компьютеров, в операционную систему которых попал вредоносный код WC.

И, хотя глобальное распространение угрозы было остановлено, не исключено, что следующая версия программы-шифровальщика станет ещё более эффективной, и к её появлению стоит готовиться заранее.

Последствия

Первые признаки заражения компьютеров вирусом-вымогателем были обнаружены 12 мая 2017 года, когда неизвестная программа вмешалась в работу тысяч пользователей и сотен различных организаций по всему миру.

Вредоносный код начал своё распространение в 8-00 и уже в течение первого дня заразил больше 50 тысяч ПК с установленной на них платформой Windows.

Больше всего заражений пришлось на российские, украинские и тайваньские компьютеры – хотя первые данные поступили из Великобритании, а среди пострадавших организаций были испанские и португальские телекоммуникационные компании и даже автоконцерн «Рено».

В России он атаковал операторов мобильной связи «Мегафон», «Билайн» и «Йота», министерство чрезвычайных ситуаций, Министерство внутренних дел, ГИБДД и Управление железных дорог. Из-за этого в некоторых регионах страны были отменены экзамены на получение водительских прав, а ряд организаций временно приостановили свою работу.

Регистрация доменного имени, прописанного в коде вируса, позволила прекратить его распространение. После этого программа уже не могла обращаться к определённому домену и не работала. Правда, только до выпуска новой версии, где уже не было предписано обращение по определённому адресу.

Рис. 1. Окно с требованиями заплатить разработчикам

Рис. 1. Окно с требованиями заплатить разработчикам

Требования разработчиков вредоносного кода

Результатом заражения компьютеров стало блокирование большинства находящихся на их жёстких дисках файлов.

Из-за невозможности воспользоваться информацией пользователи даже переводили название приложения WannaCry как «Хочется плакать», а не «Хочется шифровать» (Wanna Cryptor), как это было на самом деле.

Но, учитывая, что нерасшифрованные файлы с большой вероятностью не могли быть восстановлены, пользовательский вариант казался более подходящим.

На рабочем столе заражённого компьютера появлялись окна с требованиями заплатить мошенникам для разблокировки информации.

Сначала злоумышленники требовали только $300, через некоторое время сумма выросла уже до 500 долларов – и после оплаты не было никаких гарантий, что атака не повторится – ведь компьютер по-прежнему оставался заражённым. Но, если отказаться от оплаты, зашифрованные данные пропадали через 12 часов после появления предупреждения.

Способы распространения угрозы

Разработчики вредоносной программы использовали для заражения компьютеров с Windows уязвимость этой операционной системы, которая была закрыта с помощью обновления MS17-010.

Жертвами в основном, стали те пользователи, которые не установили это исправление в марте 2017-го года. После установки (ручной или автоматической) обновления удалённый доступ к компьютеру был закрыт.

В то же время мартовское исправление не полностью защищало операционную систему. Особенно, если пользователь сам откроет письмо с вложенным вредоносным кодом – таким способом вирус тоже распространялся.

А уже после заражения одного компьютера вирус продолжал распространяться внутри локальной сети в поисках уязвимостей – по этой причине самыми уязвимыми оказались не отдельные пользователи, а крупные компании.

Профилактика заражения


Несмотря на серьёзную опасность попадания вируса (и его новых версий) практически на любой компьютер, существует несколько способов избежать заражения системы. Для этого следует предпринять следующие меры:

  • убедиться в установке последних исправлений безопасности, и если они отсутствуют, добавить вручную. После этого следует обязательно включить автоматическое обновление – скорее всего, эта опция была выключена;

Рис.2. Включение автоматического обновления системы.

Рис.2. Включение автоматического обновления системы.

  • не открывать письма с вложениями от незнакомых пользователей;
  • не переходить по подозрительным ссылкам – особенно, если об их опасности предупреждает антивирус;
  • установить качественную антивирусную программу – например, Avast или Антивирус Касперского, процент обнаружения Ванна Край у которых максимальный. Большинство менее известных и, особенно, бесплатных приложений защищают платформу хуже;

Рис.3. Окно антивируса Avast, эффективно противостоящего заражению Ванна Край.

Рис.3. Окно антивируса Avast, эффективно противостоящего заражению Ванна Край.

  • после заражения сразу же отключить компьютер от Интернета и, особенно, от локальной сети, защитив от распространения программы-вымогателя другие устройства.

Кроме того, пользователю стоит периодически сохранять важные данные, создавая резервные копии. При возможности, стоит копировать информацию на USB-флешки, карты памяти и не подключенные к компьютеру жёсткие диски (внешние или съёмные внутренние).

При возможности восстановления информации ущерб от вируса будет минимальным – при заражении компьютера достаточно просто отформатировать его устройство хранения информации.

Лечение заражённого ПК

Если компьютер уже заражён, пользователь должен попробовать вылечить его, избавившись от последствий действия WannaCry. Ведь после того как вирусная программа попала в систему, происходит шифрование всех файлов с изменением их расширений. Пытаясь запустить приложения или открыть документы, пользователь терпит неудачу, что заставляют его задуматься о решении проблемы, заплатив требуемые $500.

Основные этапы решения проблемы:

1Запуск служб, встроенных в операционную систему Виндоус. Шанс на положительный результат в этом случае небольшой, поэтому, скорее всего, придётся воспользоваться другими вариантами;

Рис.4. Попытка восстановить работу Windows с помощью встроенных возможностей.

Рис.4. Попытка восстановить работу Windows с помощью встроенных возможностей.

Переустановка системы. При этом следует отформатировать все заражённые разделы жёсткого диска – не исключено, что при этом будет потеряна вся информация;

3Переход к расшифровке данных – этот вариант используется, если на диске находятся важные данные.

4Процесс восстановления файлов начинается со скачивания соответствующих обновлений и отключения от Интернета. После этого пользователь должен запустить командную строку (через «Пуск» и раздел «Стандартные» или через меню «Выполнить» и команду cmd) и заблокировать порт 445, закрыв путь проникновения вируса. Это можно сделать, введя команду netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

Рис.5. Запуск команды, закрывающей 445-й порт.

Рис.5. Запуск команды, закрывающей 445-й порт.

5Теперь следует запустить безопасный режим Windows. Для этого при загрузке удерживается клавишу F8 для перехода к меню запуска компьютера и выбирается соответствующий пункт. В этом режиме открывается папка с вредоносным кодом, которая находится с помощью появившегося на рабочем столе ярлыка вируса. После удаления всех файлов в каталоге необходимо перезапустить систему и снова включить Интернет.

Расшифровка файлов

После того как работа WannaCry остановлена от пользователя требуется восстановить все зашифрованные файлы.

Стоит отметить, что теперь для этого есть гораздо больше времени, чем 12 часов – поэтому, если своими силами вернуть данные не получится, можно будет обратиться к специалистам и через несколько дней или месяцев.

Оптимальный вариант – восстановление данных из резервных копий. Если же пользователь не предусмотрел возможность заражения и не скопировал важные данные, следует скачать программу-дешифровальщик:
  • Shadow Explorer, действие которой основано на восстановлении «теневых» копий файлов (в первую очередь, документов);

Окно программы

Рис. 6. Запуск программы

Рис.6. Приложение Shadow Explorer.

Рис.7. Рабочая зона

Запуск процесса восстановления

Рис. 8. Запуск процесса восстановления

  • Windows Data Recovery, благодаря которой, в основном, восстанавливаются фотографии. Хотя с её же помощью расшифровываются и другие файлы;

Рис.7. Работа программы Виндоус Дата Рекавери.

Рис.9. Работа программы Виндоус Дата Рекавери.

Восстановление файлов через программу в 1 клик

Рис. 10. Восстановление файлов через программу в 1 клик

  • утилиты, выпускающиеся Лабораторией Касперского специально для восстановления зашифрованных сведений.

Запуск утилиты

Рис. 11. Запуск утилиты

Процесс возобновления данных

Рис.12. Процесс возобновления данных

Следует знать: Запуск программы должен производиться только после удаления самого вируса. Если остановить работу Ванна Край не получилось, дешифратор использовать не стоит. 

Выводы

Поражение десятков тысяч компьютеров вирусом WannaCry показало, что далеко не все системы безопасности и антивирусы способны справиться с новыми видами вредоносного кода.

Хотя одним из способов избежать такой ситуации является использование других операционных систем – например, MacOS или Unix. А ещё – постоянная проверка Windows на вирусы и сохранение самых важных файлов на других носителях.

Источник