К основному контенту

Вирус Wannacry – как защититься и без потерь восстановить данные

Если ваш компьютер или сразу несколько устройств в домашней или рабочей сети поразил вирус Wannacry – читайте нашу статью. Здесь вы узнаете, как защититься и не допустить заражения, а также как правильно расшировать зашифрованные данный
Важность этих знаний подтверждается информацией о более чем 150 тысячах заражённых в 2017-м году компьютеров, в операционную систему которых попал вредоносный код WC.
И, хотя глобальное распространение угрозы было остановлено, не исключено, что следующая версия программы-шифровальщика станет ещё более эффективной, и к её появлению стоит готовиться заранее.

Последствия

Первые признаки заражения компьютеров вирусом-вымогателем были обнаружены 12 мая 2017 года, когда неизвестная программа вмешалась в работу тысяч пользователей и сотен различных организаций по всему миру.
Вредоносный код начал своё распространение в 8-00 и уже в течение первого дня заразил больше 50 тысяч ПК с установленной на них платформой Windows.
Больше всего заражений пришлось на российские, украинские и тайваньские компьютеры – хотя первые данные поступили из Великобритании, а среди пострадавших организаций были испанские и португальские телекоммуникационные компании и даже автоконцерн «Рено».
В России он атаковал операторов мобильной связи «Мегафон», «Билайн» и «Йота», министерство чрезвычайных ситуаций, Министерство внутренних дел, ГИБДД и Управление железных дорог. Из-за этого в некоторых регионах страны были отменены экзамены на получение водительских прав, а ряд организаций временно приостановили свою работу.
Регистрация доменного имени, прописанного в коде вируса, позволила прекратить его распространение. После этого программа уже не могла обращаться к определённому домену и не работала. Правда, только до выпуска новой версии, где уже не было предписано обращение по определённому адресу.

Рис. 1. Окно с требованиями заплатить разработчикам

Требования разработчиков вредоносного кода

Результатом заражения компьютеров стало блокирование большинства находящихся на их жёстких дисках файлов.
Из-за невозможности воспользоваться информацией пользователи даже переводили название приложения WannaCry как «Хочется плакать», а не «Хочется шифровать» (Wanna Cryptor), как это было на самом деле.
Но, учитывая, что нерасшифрованные файлы с большой вероятностью не могли быть восстановлены, пользовательский вариант казался более подходящим.
На рабочем столе заражённого компьютера появлялись окна с требованиями заплатить мошенникам для разблокировки информации.
Сначала злоумышленники требовали только $300, через некоторое время сумма выросла уже до 500 долларов – и после оплаты не было никаких гарантий, что атака не повторится – ведь компьютер по-прежнему оставался заражённым. Но, если отказаться от оплаты, зашифрованные данные пропадали через 12 часов после появления предупреждения.

Способы распространения угрозы

Разработчики вредоносной программы использовали для заражения компьютеров с Windows уязвимость этой операционной системы, которая была закрыта с помощью обновления MS17-010.
Жертвами в основном, стали те пользователи, которые не установили это исправление в марте 2017-го года. После установки (ручной или автоматической) обновления удалённый доступ к компьютеру был закрыт.
В то же время мартовское исправление не полностью защищало операционную систему. Особенно, если пользователь сам откроет письмо с вложенным вредоносным кодом – таким способом вирус тоже распространялся.
А уже после заражения одного компьютера вирус продолжал распространяться внутри локальной сети в поисках уязвимостей – по этой причине самыми уязвимыми оказались не отдельные пользователи, а крупные компании.

Профилактика заражения

Несмотря на серьёзную опасность попадания вируса (и его новых версий) практически на любой компьютер, существует несколько способов избежать заражения системы. Для этого следует предпринять следующие меры:
  • убедиться в установке последних исправлений безопасности, и если они отсутствуют, добавить вручную. После этого следует обязательно включить автоматическое обновление – скорее всего, эта опция была выключена;
Рис.2. Включение автоматического обновления системы.
Рис.2. Включение автоматического обновления системы.
  • не открывать письма с вложениями от незнакомых пользователей;
  • не переходить по подозрительным ссылкам – особенно, если об их опасности предупреждает антивирус;
  • установить качественную антивирусную программу – например, Avast или Антивирус Касперского, процент обнаружения Ванна Край у которых максимальный. Большинство менее известных и, особенно, бесплатных приложений защищают платформу хуже;

Рис.3. Окно антивируса Avast, эффективно противостоящего заражению Ванна Край.
  • после заражения сразу же отключить компьютер от Интернета и, особенно, от локальной сети, защитив от распространения программы-вымогателя другие устройства.
Кроме того, пользователю стоит периодически сохранять важные данные, создавая резервные копии. При возможности, стоит копировать информацию на USB-флешки, карты памяти и не подключенные к компьютеру жёсткие диски (внешние или съёмные внутренние).
При возможности восстановления информации ущерб от вируса будет минимальным – при заражении компьютера достаточно просто отформатировать его устройство хранения информации.

Лечение заражённого ПК

Если компьютер уже заражён, пользователь должен попробовать вылечить его, избавившись от последствий действия WannaCry. Ведь после того как вирусная программа попала в систему, происходит шифрование всех файлов с изменением их расширений. Пытаясь запустить приложения или открыть документы, пользователь терпит неудачу, что заставляют его задуматься о решении проблемы, заплатив требуемые $500.
Основные этапы решения проблемы:
1Запуск служб, встроенных в операционную систему Виндоус. Шанс на положительный результат в этом случае небольшой, поэтому, скорее всего, придётся воспользоваться другими вариантами;

Рис.4. Попытка восстановить работу Windows с помощью встроенных возможностей.
Переустановка системы. При этом следует отформатировать все заражённые разделы жёсткого диска – не исключено, что при этом будет потеряна вся информация;
3Переход к расшифровке данных – этот вариант используется, если на диске находятся важные данные.
4Процесс восстановления файлов начинается со скачивания соответствующих обновлений и отключения от Интернета. После этого пользователь должен запустить командную строку (через «Пуск» и раздел «Стандартные» или через меню «Выполнить» и команду cmd) и заблокировать порт 445, закрыв путь проникновения вируса. Это можно сделать, введя команду netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

Рис.5. Запуск команды, закрывающей 445-й порт.
5Теперь следует запустить безопасный режим Windows. Для этого при загрузке удерживается клавишу F8 для перехода к меню запуска компьютера и выбирается соответствующий пункт. В этом режиме открывается папка с вредоносным кодом, которая находится с помощью появившегося на рабочем столе ярлыка вируса. После удаления всех файлов в каталоге необходимо перезапустить систему и снова включить Интернет.

Расшифровка файлов

После того как работа WannaCry остановлена от пользователя требуется восстановить все зашифрованные файлы.
Стоит отметить, что теперь для этого есть гораздо больше времени, чем 12 часов – поэтому, если своими силами вернуть данные не получится, можно будет обратиться к специалистам и через несколько дней или месяцев.
Оптимальный вариант – восстановление данных из резервных копий. Если же пользователь не предусмотрел возможность заражения и не скопировал важные данные, следует скачать программу-дешифровальщик:
  • Shadow Explorer, действие которой основано на восстановлении «теневых» копий файлов (в первую очередь, документов);
Окно программы
Рис. 6. Запуск программы

Рис.7. Рабочая зона

Рис. 8. Запуск процесса восстановления
  • Windows Data Recovery, благодаря которой, в основном, восстанавливаются фотографии. Хотя с её же помощью расшифровываются и другие файлы;

Рис.9. Работа программы Виндоус Дата Рекавери.

Рис. 10. Восстановление файлов через программу в 1 клик
  • утилиты, выпускающиеся Лабораторией Касперского специально для восстановления зашифрованных сведений.

Рис. 11. Запуск утилиты

Рис.12. Процесс возобновления данных
Следует знать: Запуск программы должен производиться только после удаления самого вируса. Если остановить работу Ванна Край не получилось, дешифратор использовать не стоит.

Выводы

Поражение десятков тысяч компьютеров вирусом WannaCry показало, что далеко не все системы безопасности и антивирусы способны справиться с новыми видами вредоносного кода.
Хотя одним из способов избежать такой ситуации является использование других операционных систем – например, MacOS или Unix. А ещё – постоянная проверка Windows на вирусы и сохранение самых важных файлов на других носителях.

Комментарии

Популярные сообщения из этого блога

Как подключить телефон к телевизору — все способы

Здравствуйте. Думаю, вы будете согласны со мной в том, что смотреть фото и видео в большом формате всегда увлекательнее и проще. На телевизоре легко воспроизвести мультимедийные файлы, кроме того, телефонную память можно использовать в качестве флешки.  Существует несколько вариантов того, как подключить телефон к телевизору, все зависит от вашей техники и наличия кабелей соединения. Давайте попытаемся со всем этим разобраться. Долой провода! Поддержка технологии Wifi Direct есть сегодня почти во всех телевизорах, имеющих функцию беспроводного соединения, и уж тем более ее имеют практически все телефоны. Благодаря этой технологии девайсы соединяются между собой без точки доступа. При этом TV видит телефон не как простой накопитель, а как мультимедийное устройство. Процесс сопряжения двух этих аппаратов происходит следующим образом: В первую очередь включаем на мобильном гаджете Вай Фай Директ. С любой версией операционки этот режим располагается в настройках беспрово

Как узнать IP-адрес компьютера с помощью PowerShell Windows

Когда пользователь Windows ищет IP-адрес своего компьютера, PowerShell может быть хорошим вариантом для обнаружения. Это действительно не требует больших усилий, чтобы узнать интернет-протокол с помощью этого инструмента. IP-адрес хоста - очень важный код для связи устройства с другими. Кроме того, некоторые веб-сайты не позволяют показывать их содержимое без адресов. Таким образом, очень важно знать способ получения  IP-адреса с помощью PowerShell.  Существует две основных целей IP-адреса: Точное определение узла, особенно сетевого интерфейса хоста. Предоставление местоположения хоста внутри сетевой арены, а также путь, через который устройство может взаимодействовать с другими. IP - это численное представление всех устройств, которые подключены к компьютеру с помощью интернет-протокола. Это позволяет компьютеру взаимодействовать с другими устройствами посредством IP-сети, такой как Интернет. Если вы являетесь пользователем Windows, вы можете довольно просто   узнать IP-адрес

10 способов увеличить скорость домашнего Wi-Fi

Хотя Wi-Fi — это, бесспорно, очень удобно, но зачастую беспроводной интернет заставляет понервничать. Тем, кто страдает от медленной скорости, плохого качества сигнала, а также других проблем, стоит знать, что есть способы увеличить скорость Wi-Fi у себя дома. Итак, что же нужно сделать. 1. Стандарт N Использовать последние технологии Wi-Fi. Один из лучших способов убедиться, что домашняя сеть работает настолько быстро и надежно, насколько это возможно, заключается в использовании современных аппаратных средств. Главное, что нужно знать: беспроводные стандарты A, B и G являются старыми и медленными, и только стандарт N может обеспечить самую высокую скорость. Нужно убедиться, что беспроводной маршрутизатор и сетевая карта поддерживают стандарт N. 2. Максимальный охват Найти идеальное место для маршрутизатора. Хотя маршрутизаторы могут выглядеть уродливо, но это не значит, что их нужно прятать за телевизором. Чтобы обеспечить лучший сигнал, нужно установить роутер на открытом месте, что