1. Звідки береться Wanna Сry?
2. Як працює Wanna Сry?
3. Як захиститися від Wanna Сry?
4. Що робити якщо комп'ютер вже заражений вірусом Wanna Сry?
5. Що далі?

Всім привіт, останнім часом дуже багато новин про вірус Wanna Сry (Wana Decrypt0r), кого то цей вірус вже відвідав, а хто боїться його підхопити. У цій статті я розповім як захистити свій комп'ютер від вірусу Wanna Сry.

Звідки береться Wanna Сry?

На початковому етапі зародження вірусу Wanna Сry він поширювався через електронні листи. Людина відкриває свою пошту, бачить там інтригуюче лист з посиланням на шкідливий сайт. Після переходу на такий сайт без антивіруса з фаєрволом, комп'ютер миттєво заражається вірусом, а вірус починає поширюватися по мережі на все не захищені комп'ютери. Тобто заразиться можна навіть якщо ви нікуди не переходили, але ваш комп'ютер не захищений фаєрволом. Вірус заражає комп'ютери по мережі через уразливість в SMBv1. Найбільше зараження схильні комп'ютери з старими ОС: Windows XP, Vista, 7. Але заразиться можна навіть на Windows 8.1 і старих версіях 10. На даний момент заражено вже майже пів мільйона комп'ютерів у всьому світі і це всього за 9 днів з моменту початку розповсюдження .

Як працює Wanna Сry?

При своєму запуску WNCRY вірус шифрувальник насамперед розпаковує свій інсталятор, в якому знаходяться такі файли:

• b.wnry
• c.wnry
• r.wnry
• s.wnry
• t.wnry
• taskdl.exe
• taskse.exe
• u.wnry
  

Після чого дістає з архіву повідомлення про викуп на тій мові, який використовує користувач комп'ютера. На даний момент Wana Decrypt0r підтримує наступні мови:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese
Далі WanaCrypt0r вірус завантажує TOR браузер, який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконаний, вірус виконує команду, за допомогою якої встановлює повний доступ до всіх доступних каталогів і файлів. Це необхідно для того, щоб зашифрувати якомога більше файлів на зараженому комп'ютері.
На наступному етапі WanaDecryptor завершує процеси з наступними іменами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange *, Microsoft.Exchange. *, Щоб зашифрувати і всі бази даних знаходяться на інфікованому комп'ютері.
Закінчивши описані вище підготовчі етапи, вірус переходить вже до самого процесу шифрування. У його процесі шифруються файли з наступними розширеннями:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif , .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql,. accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob , .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw,. gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt , .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx,. ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Коли який-небудь файл зашифрований, до його імені додається розширення «.WNCRY». Тобто, якщо до зашифровуваної файл мав ім'я «картінка.bmp», то після того як файл зашифрований, його ім'я буде змінено на «картінка.bmp.WNCRY».
Коли всі файли в каталозі зашифровані, вірус шифрувальник поміщає в цей же каталог ще пару файлів, це @ Please_Read_Me @ .txt - містить інструкцію по-розшифровці файлів і @ WanaDecryptor @ .exe - дешифровщик зашифрованих файлів.
На заключному етапі своєї роботи, WanaDecryptor вірус намагається видалити тіньові копії всіх файлів та інші можливості відновити файли, які раніше були зашифровані. Так як ця операція вимагає повних прав, то операційна система показує попередження від служби UAC. У разі, якщо користувач відповість відмовою, то тіньові копії файлів не будуть видалені і з'явиться можливість повністю відновити зашифровані файли абсолютно безкоштовно.

Як захиститися від Wanna Сry?

Є кілька методів боротьби з вірусом Wanna Сry, це:

Відключення загального доступу до файлів SMB1. Панель управління - Програми та засоби - Включення або відключення компонентів Windows - знайдіть компонент: підтримка загального доступу до файлів SMB1 і приберіть галочку, після потрібно перезавантаження комп'ютера. Після відключення вірус просто не зможе використовувати дану уразливість так як вона буде відключена.

Відключення порту 445. Що б відключити його через стандартний брандмауер або захисник потрібно зайти Панель управління - Брандмауер windows - Розширені можливості пошуку - Правила для вхідних підключень - натиснути кнопку створити правило - для порту - натиснути далі - вибрати протокол TCP і прописати 445 порт - натиснути далі - вибрати блокувати підключення - залиште все галки в наступному вікні - у вікні імені можете написати анти Wanna Сry.

Таким чином порт буде відключений і заразити комп'ютер вірус Wanna Сry не зможе. Якщо у вас стоїть сторонній фаєрвол / антивірус, то вам потрібно подивитися інструкцію з блокування портів для вашого фаєрвола / антивіруса на сайті виробника.

Якщо у вас стоїть один з популярних фаєрволів, то турбується про порт 445 не варто, на сьогодні всі великі фаєрволи вже захищають 445 від вторгнення Wanna Сry.

Є ще один спосіб уникнути вторгнення вірусу Wanna Сry на ваш комп'ютер. Потрібно просто встановити спеціальне оновлення на ваш Windows. Посилання на захисне оновлення від вірусу Wanna Сry:

Хочу попередити, у тих у кого стоїть не оригінальна збірка Windows або кривої активатор можуть бути проблеми мс установкою цих оновлень!

Для Windows 10 (1703) оновлення не потрібно так як воно інтегровано в систему, оновлення для останньої 10 не потрібно.

Що робити якщо комп'ютер вже заражений вірусом Wanna Сry?

В цьому випадку хорошого мало і потрібно спробувати не дати вірусу зачистити диск після шифрування файлів. У момент шифрування файлів ви можете побачите повідомлення UAC на дозвіл доступу до диска, його ні в якому разі не можна давати. якщо не дати такий дозвіл зашифровані файли можна буде відновити з диска як і будь-які інші віддалені файли. Це я показував в одному зі своїх відео . Якщо ви дали добро на затірку диска або у вас відключений контроль облікових записів (UAC), то відновити файли буде важко. Щоб не втратити файли під час відновлення, перед відновленням рекомендую перевірити комп'ютер на віруси і видалити вірус.

Так само відновити файли можливо якщо у вас включено тіньове копіювання томи.

• скачайте програму ShadowExplorer . Програма всередині архіву. Вийміть з архіву всі файли. Відкрийте папку ShadowExplorerPortable.
  
• Запустіть ShadowExplorer. Виберіть потрібний вам диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.
  
• Клацніть правою клавішею миші по каталогу або файлу, копію якого ви хочете відновити. В меню оберіть Export.
  
• І останнє, виберіть папку в яку буде скопійований відновлений файл.

Інших способів відновлення файлів поки не відомо. Хочу попередити що платити гроші за розшифровку файлів не варто, так як файли все одно не будуть розшифровані.

Що далі?

На даний момент вірус продовжує розвиватися і мутувати, можливі нові спалахи зараження. Тому я вкрай рекомендую всім серйозно відтіснити до загрози. Використовуйте антивіруси і фаєрволи, не забувайте встановлювати останні критичні оновлення для Windows, стежте за ситуацією в світі і швидко реагуйте на нові загрози. При такому підході ваш комп'ютер буде в безпеці! Ще більше інформації про вірус Wanna Сry в моєму Стрімі дивіться нижче: