В данное время, 23.05.2017 года, происходит новый виток компьютерной эпидемии, виновником эпидемии стал шифровальщик Wana Decrypt0r, который может называться и WCry, WannaCry, WannaCrypt0r и WannaCrypt
Шифровальщик Wana Decrypt0r впервые был обнаружен зимой 2017 года
как стало известно специалистам данный троян использует эксплоит АНБ, в настоящее время троян WCry заразил более 100000 компьютеров, и как уттверждают специалисты Avast главными целями атаки трояна стали Россия, Украина и Тайвань
Как стало известно на днях Wana Decrypt0r атаковали сервера компании Мегафон и МВД РФ
Особенности работы вируса вируса
Вирус шифрует данные пользователя 2048 битным ключом RSA и к сожалению пока программы для расшифровки данных ещё нет, время с момента заражения компьютера до начало шифрования прходит до 3-х минут, за это время вирус успевает просканировать соседние компьютеры на возможность их заражения
Инсталяция вируса
Инсталяция вируса происходит с помощью файла tasksche.exe, далее с reg.exe шифровальщик запускает командную строку
cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v «abzycksvjlmvxcqwnu394» /t reg_sz /d «\»c:\intel\ abzycksvjlmvxcqwnu394\tasksche.exe\»»
таким способом шифровальщик обходит фаервол и прописывается в автозагрузку ОС, далее троян устанавливает свой код таким образом чтобы можно было запустить свои компоненты как сервис, например
c:\documents and settings\28=8db@10b@\desktop\mapkep.bin
c:\intel\ abzycksvjlmvxcqwnu394\tasksche.exe
после этого вирус извлекает из своего архива код файл “@wanadecryptor@.exe” который распространяет по папкам жертвы и начинает шифровать файлы
Как защитить свой ПК от Wana Decrypt0r
Компания microsoft срочно быпустила патчи которые закрывают уязвимость Bulletin MS17-010
Что надо сделать
1. на системах с windows 8.1 и старше выполните команду
dism /online /norestart /disable-feature /featurename:SMB1Protocol
2. далее выполните команду
wmic qfe list | findstr 4012212
если ответна выполнение команды будет код похожий на этот:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
это значит обновления на вашем компьютере закрывающие уязвимость уже стоят, в противном случае бегите и устанавливайте патчи, чтобы обезопасить свой компьютер