В данное время, 23.05.2017 года, происходит новый виток компьютерной эпидемии, виновником эпидемии стал шифровальщик Wana Decrypt0r, который может называться и WCry, WannaCry, WannaCrypt0r и WannaCrypt

Шифровальщик Wana Decrypt0r впервые был обнаружен зимой 2017 года
как стало известно специалистам данный троян использует эксплоит АНБ, в настоящее время троян WCry заразил более 100000 компьютеров, и как уттверждают специалисты Avast главными целями атаки трояна стали Россия, Украина и Тайвань

Как стало известно на днях Wana Decrypt0r атаковали сервера компании Мегафон и МВД РФ

Особенности работы вируса вируса

Вирус шифрует данные пользователя 2048 битным ключом RSA и к сожалению пока программы для расшифровки данных ещё нет, время с момента заражения компьютера до начало шифрования прходит до 3-х минут, за это время вирус успевает просканировать соседние компьютеры на возможность их заражения

Инсталяция вируса

Инсталяция вируса происходит с помощью файла tasksche.exe, далее с reg.exe шифровальщик запускает командную строку

cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v «abzycksvjlmvxcqwnu394» /t reg_sz /d «\»c:\intel\ abzycksvjlmvxcqwnu394\tasksche.exe\»»

таким способом шифровальщик обходит фаервол и прописывается в автозагрузку ОС, далее троян устанавливает свой код таким образом чтобы можно было запустить свои компоненты как сервис, например
c:\documents and settings\28=8db@10b@\desktop\mapkep.bin
c:\intel\ abzycksvjlmvxcqwnu394\tasksche.exe

после этого вирус извлекает из своего архива код файл “@wanadecryptor@.exe” который распространяет по папкам жертвы и начинает шифровать файлы

Как защитить свой ПК от Wana Decrypt0r

Компания microsoft срочно быпустила патчи которые закрывают уязвимость Bulletin MS17-010

Что надо сделать
1. на системах с windows 8.1 и старше выполните команду
dism /online /norestart /disable-feature /featurename:SMB1Protocol

2. далее выполните команду
wmic qfe list | findstr 4012212

если ответна выполнение команды будет код похожий на этот:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
это значит обновления на вашем компьютере закрывающие уязвимость уже стоят, в противном случае бегите и устанавливайте патчи, чтобы обезопасить свой компьютер