Вірус Wannacry – як захиститися без втрат та відновити дані

0
650
Вірус Wannacry – як захиститися без втрат та відновити дані

Якщо ваш комп’ютер або відразу декілька пристроїв в домашній мережі або робочої вразив вірус Wannacry – читайте нашу статтю. Тут ви дізнаєтеся, як захиститися і не допустити зараження, а також як правильно расшіровать зашифровані дані

Важливість цих знань підтверджується інформацією про більш ніж 150 тисяч заражених в 2017-му році комп’ютерів, операційну систему яких потрапив шкідливий код WC.

І, хоча глобальне поширення загрози було зупинено, не виключено, що наступна версія програми-шифровальщика стане ще більш ефективною, і до її появи варто готуватися заздалегідь.

Наслідки

Перші ознаки зараження вірусом комп’ютерів-здирником були виявлені 12 травня 2017 року, коли невідома програма втрутилася в роботу тисяч користувачів і сотень різних організацій по всьому світу.

Шкідливий код почав своє поширення в 8-00 і вже протягом першого дня заразив більше 50 тисяч ПК зі встановленою на них платформою Windows.

Найбільше заражень довелося на українські, російські і тайванські комп’ютери – хоча перші дані надійшли з Великобританії, а серед постраждалих організацій були іспанські і португальські телекомунікаційні компанії і навіть автоконцерн «Рено».

Вікно з вимогами заплатити розробникам

Реєстрація доменного імені, прописаного в коді вірусу, дозволила припинити його розповсюдження. Після цього програма вже не могла звертатися до певного домену і не працювала. Правда, тільки до випуску нової версії, де вже не було наказано звернення за певною адресою.

Вимоги розробників шкідливого коду

Результатом зараження комп’ютерів стало блокування більшості знаходяться на їх жорстких дисках файлів.

З-за неможливості скористатися інформацією користувачі навіть переводили назва програми WannaCry як «Хочеться плакати», а не «Хочеться шифрувати» (Wanna Cryptor), як це було насправді.

Але, враховуючи, що нерозшифровані файли з великою ймовірністю не могли бути відновлені, користувальницький варіант здавався більш підходящим.

На робочому столі зараженого комп’ютера з’являлися вікна з вимогами заплатити шахраям для розблокування інформації.

Спочатку зловмисники вимагали лише $300, через деякий час сума зросла вже до 500 доларів – і після оплати не було жодних гарантій, що атака не повториться – адже комп’ютер як і раніше залишався зараженим. Але, якщо відмовитися від оплати, зашифровані дані пропадали через 12 годинників після появи попередження.

Способи розповсюдження загрози

Розробники шкідливої програми використовували для зараження комп’ютерів з Windows вразливість цієї операційної системи, яка була закрита за допомогою оновлення MS17-010.

Жертвами в основному, ті користувачі, які не встановили це виправлення в березні 2017-го року. Після установки (ручного або автоматичного) оновлення віддалений доступ до комп’ютера був закритий.

У той же час березневе виправлення не повністю захищало операційну систему. Особливо, якщо користувач сам відкриє лист з вкладеним шкідливим кодом – таким способом вірус теж поширювався.

А вже після зараження одного комп’ютера вірус продовжував поширюватися всередині локальної мережі в пошуках вразливостей – за цієї причини найбільш уразливими виявилися не окремі користувачі, а великі компанії.

Профілактика зараження

Незважаючи на серйозну небезпеку потрапляння вірусу (і його нових версій) практично на будь-який комп’ютер, існує кілька способів уникнути зараження системи. Для цього слід здійснити такі заходи:

  • переконатися в установці останніх виправлень безпеки, і якщо вони відсутні, додати вручну. Після цього слід обов’язково включити автоматичне оновлення – скоріше за все, ця опція була вимкнена;
Включення автоматичного оновлення системи.
  • не відкривати листи з вкладеннями від незнайомих користувачів;
  • не переходити за підозрілими посиланнями – особливо, якщо про їх небезпеку попереджає антивірус;
  • встановити якісну антивірусну програму – наприклад, Avast або Антивірус Касперського, відсоток виявлення Ванна Край у яких максимальний. Більшість менш відомих і, особливо, безкоштовних додатків захищають платформу гірше;
Вікно антивірусу Avast, ефективно протистоїть зараженню Ванна Край.
  • після зараження відразу ж відключити комп’ютер від Інтернету і, особливо, від локальної мережі, захистивши від поширення програми-здирника інші пристрої.

Крім того, користувачу варто зберігати важливі дані, створюючи резервні копії. При можливості, варто копіювати інформацію на USB-флешки, карти пам’яті і не підключені до комп’ютера, жорсткі диски (зовнішні або знімні внутрішні).

При можливості відновлення інформації збитки від вірусу буде мінімальним – при зараженні комп’ютера досить просто відформатувати його пристрій зберігання інформації.

Лікування зараженого ПК

Якщо комп’ютер вже заражений, користувач повинен спробувати вилікувати його, позбувшись від наслідків дії WannaCry. Адже після того як вірусна програма потрапила у систему, відбувається шифрування всіх файлів із зміною їх розширень. Намагаючись запустити програму або відкрити документи, користувач зазнає невдачі, що змушують його задуматися про вирішення проблеми, заплативши необхідні $500.

Основні етапи вирішення проблеми:
Запуск служб, вбудованих в операційну систему Віндовс. Шанс на позитивний результат у цьому випадку невеликий, тому, швидше за все, доведеться скористатись іншими варіантами;

Спроба відновити роботу Windows за допомогою вбудованих можливостей.

Перевстановлення системи. При цьому слід відформатувати всі заражені розділи жорсткого диска – не виключено, що при цьому буде втрачена вся інформація;

Перехід до розшифровки даних – цей варіант використовується, якщо на диску знаходяться важливі дані.

Процес відновлення файлів починається зі скачування відповідних оновлень і відключення від Інтернету. Після цього користувач повинен запустити командний рядок (через «Пуск» і розділ «Стандартні» або через меню «Виконати» і cmd) і заблокувати порт 445, закривши шлях проникнення вірусу. Це можна зробити, ввівши команду netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

Запуск команди, що закриває 445-й порт.

5 Тепер слід запустити безпечний режим Windows. Для цього при завантаженні утримується клавішу F8 для переходу до меню запуску комп’ютера і вибирається відповідний пункт. У цьому режимі відкривається папка з шкідливим кодом, яка знаходиться за допомогою з’явився на робочому столі ярлика вірусу. Після видалення всіх файлів в каталозі необхідно перезавантажити систему і знову включити Інтернет.

Розшифровка файлів

Після того як робота WannaCry зупинена, користувачу потрібно відновити всі зашифровані файли.

Варто відзначити, що тепер для цього є набагато більше часу, ніж 12 годинників – тому, якщо своїми силами повернути дані не вийде, можна буде звернутися до фахівців і через декілька днів або місяців.

Оптимальний варіант – відновлення даних з резервних копій. Якщо ж користувач не передбачив можливість зараження і не скопіював важливі дані, слід завантажити програму-дешифровальщик:

  • Shadow Explorer, дія якої грунтується на відновлення тіньових копій файлів (в першу чергу, документів);
Запуск програми
Робоча зона
Запуск процесу відновлення
  • Windows Data Recovery, завдяки якій, в основному, відновлюються фотографії. Хоча з її ж допомогою розшифровуються та інші файли;
Робота програми Віндовс Дата Рекавері.
Відновлення файлів через програму в 1 клік
  • утиліти, що випускаються Лабораторією Касперського спеціально для відновлення зашифрованих даних.
Запуск утиліти
Процес відновлення даних

Слід знати: Запуск програми повинен проводитися тільки після видалення самого вірусу. Якщо зупинити роботу Ванна Край не вийшло, дешифратор використовувати не варто.

Висновки

Поразка десятків тисяч комп’ютерів вірусом WannaCry показало, що далеко не всі системи безпеки і антивіруси здатні впоратися з новими видами шкідливого коду.

Хоча одним із способів уникнути такої ситуації є використання інших операційних систем – наприклад, MacOS або Unix. А ще – постійна перевірка Windows на віруси і збереження найбільш важливих файлів на інших носіях.

5 (100%) 1 голосів

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here