การวัด

ไวรัส WannaCry ransomware: จะทำอย่างไร? วิธีถอดรหัสไฟล์หลังจากการรักษาคำอธิบายไวรัส WannaCry Wanna Cry

01.01.2022

ตามรายงานของสื่อรัสเซีย งานของแผนกต่างๆ ของกระทรวงกิจการภายในในหลายภูมิภาคของรัสเซียหยุดชะงักเนื่องจากแรนซัมแวร์ที่แพร่ระบาดในคอมพิวเตอร์หลายเครื่องและขู่ว่าจะทำลายข้อมูลทั้งหมด นอกจากนี้ Megafon ผู้ดำเนินการสื่อสารยังถูกโจมตีอีกด้วย

เรากำลังพูดถึงโทรจัน WCry ransomware (WannaCry หรือ WannaCryptor) เขาเข้ารหัสข้อมูลบนคอมพิวเตอร์และเรียกร้องค่าไถ่ 300 ดอลลาร์หรือ 600 ดอลลาร์ใน Bitcoin สำหรับการถอดรหัส

@[ป้องกันอีเมล], ไฟล์ที่เข้ารหัส, นามสกุล WNCRY จำเป็นต้องมีคำแนะนำด้านอรรถประโยชน์และการถอดรหัส

WannaCry เข้ารหัสไฟล์และเอกสารด้วยนามสกุลต่อไปนี้โดยเพิ่ม .WCRY ต่อท้ายชื่อไฟล์:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .สำรอง, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry โจมตีทั่วโลก

การโจมตีถูกบันทึกไว้ในกว่า 100 ประเทศ รัสเซีย ยูเครน และอินเดียกำลังประสบปัญหาใหญ่ที่สุด รายงานการติดเชื้อไวรัสมาจากสหราชอาณาจักร สหรัฐอเมริกา จีน สเปน และอิตาลี มีข้อสังเกตว่าการโจมตีของแฮ็กเกอร์ส่งผลกระทบต่อโรงพยาบาลและบริษัทโทรคมนาคมทั่วโลก แผนที่เชิงโต้ตอบของการแพร่กระจายของภัยคุกคาม WannaCrypt มีอยู่บนอินเทอร์เน็ต

การติดเชื้อเกิดขึ้นได้อย่างไร?

ตามที่ผู้ใช้กล่าวไว้ ไวรัสจะเข้าสู่คอมพิวเตอร์โดยไม่ต้องดำเนินการใดๆ และแพร่กระจายไปทั่วเครือข่ายอย่างควบคุมไม่ได้ ในฟอรัม Kaspersky Lab พวกเขาชี้ให้เห็นว่าแม้แต่โปรแกรมป้องกันไวรัสที่เปิดใช้งานก็ไม่รับประกันความปลอดภัย

มีรายงานว่าการโจมตีแรนซัมแวร์ WannaCry (Wana Decryptor) เกิดขึ้นผ่านช่องโหว่ Microsoft Security Bulletin MS17-010 จากนั้นมีการติดตั้งรูทคิทบนระบบที่ติดไวรัส ซึ่งผู้โจมตีใช้เปิดโปรแกรมเข้ารหัส โซลูชันของ Kaspersky Lab ทั้งหมดตรวจพบรูทคิทนี้เป็น MEM:Trojan.Win64.EquationDrug.gen

สันนิษฐานว่าการติดเชื้อเกิดขึ้นหลายวันก่อนหน้านี้ แต่ไวรัสเพียงแสดงตัวเองหลังจากเข้ารหัสไฟล์ทั้งหมดในคอมพิวเตอร์แล้วเท่านั้น

วิธีการเอาออก WanaDecryptor.dll

คุณจะสามารถลบภัยคุกคามได้โดยใช้โปรแกรมป้องกันไวรัส โดยโปรแกรมป้องกันไวรัสส่วนใหญ่จะตรวจจับภัยคุกคามได้แล้ว คำจำกัดความทั่วไป:

อวาสท์ Win32:WanaCry-A , เฉลี่ย Ransom_r.CFY, เอวิร่า TR/FileCoder.ibtft, BitDefenderโทรจัน.Ransom.WannaCryptor.A, ดร.เว็บโทรจัน.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, แคสเปอร์สกี้โทรจัน-Ransom.Win32.Wanna.d, มัลแวร์ไบต์ Ransom.WanaCrypt0r, ไมโครซอฟต์ค่าไถ่:Win32/WannaCrypt, แพนด้า Trj/RansomCrypt.F, ไซแมนเทค Trojan.Gen.2, Ransom.Wannacry

หากคุณได้เปิดภัยคุกคามบนคอมพิวเตอร์ของคุณแล้วและไฟล์ของคุณได้รับการเข้ารหัส การถอดรหัสไฟล์นั้นแทบจะเป็นไปไม่ได้เลย เนื่องจากการใช้ประโยชน์จากช่องโหว่ดังกล่าวจะทำให้ตัวเข้ารหัสเครือข่ายเปิดตัว อย่างไรก็ตาม มีหลายตัวเลือกสำหรับเครื่องมือถอดรหัสที่มีอยู่แล้ว:

บันทึก: หากไฟล์ของคุณได้รับการเข้ารหัสและ การสำรองข้อมูลหายไปและเครื่องมือถอดรหัสที่มีอยู่ไม่ได้ช่วย ขอแนะนำให้บันทึกไฟล์ที่เข้ารหัสก่อนที่จะกำจัดภัยคุกคามจากคอมพิวเตอร์ของคุณ พวกเขาจะมีประโยชน์หากมีการสร้างเครื่องมือถอดรหัสที่เหมาะกับคุณในอนาคต

ไมโครซอฟต์: ติดตั้ง อัพเดตวินโดวส์

Microsoft กล่าวว่าผู้ใช้ที่เปิดใช้งานโปรแกรมป้องกันไวรัสฟรีของบริษัทและเปิดใช้งานการอัปเดตระบบ Windows จะได้รับการปกป้องจากการโจมตีของ WannaCryptor

การอัปเดตลงวันที่ 14 มีนาคมแก้ไขช่องโหว่ของระบบซึ่งมีการแพร่กระจายโทรจันแรนซัมแวร์ การตรวจจับในปัจจุบันถูกเพิ่มลงในฐานข้อมูลแอนติไวรัสของ Microsoft Security Essentials/Windows Defender เพื่อป้องกันมัลแวร์ตัวใหม่ที่เรียกว่า Ransom:Win32.WannaCrypt

  • ตรวจสอบให้แน่ใจว่าเปิดใช้งานและติดตั้งโปรแกรมป้องกันไวรัสของคุณแล้ว อัปเดตล่าสุด.
  • ติดตั้งโปรแกรมป้องกันไวรัสฟรีหากคอมพิวเตอร์ของคุณไม่มีการป้องกันใดๆ
  • ติดตั้งการอัปเดตระบบล่าสุดโดยใช้ Windows Update:
    • สำหรับ วินโดว์ 7, 8.1จากเมนูเริ่ม ให้เปิดแผงควบคุม > Windows Update แล้วคลิกค้นหาการอัปเดต
    • สำหรับ วินโดวส์ 10ไปที่การตั้งค่า > การอัปเดตและความปลอดภัย แล้วคลิก "ตรวจสอบการอัปเดต"..
  • หากคุณติดตั้งการอัปเดตด้วยตนเอง ให้ติดตั้งแพตช์อย่างเป็นทางการของ Microsoft MS17-010 ซึ่งจะแก้ไขช่องโหว่ของเซิร์ฟเวอร์ SMB ที่ใช้ในการโจมตีแรนซัมแวร์ WanaDecryptor
  • หากโปรแกรมป้องกันไวรัสของคุณมีการป้องกันแรนซัมแวร์ ให้เปิดใช้งาน นอกจากนี้เรายังมีส่วนแยกต่างหากบนเว็บไซต์ Ransomware Protection ของเรา ซึ่งคุณสามารถดาวน์โหลดเครื่องมือฟรีได้
  • ทำการสแกนป้องกันไวรัสของระบบของคุณ

ผู้เชี่ยวชาญทราบว่าวิธีที่ง่ายที่สุดในการป้องกันตัวเองจากการถูกโจมตีคือการปิดพอร์ต 445

  • พิมพ์ sc หยุด lanmanserver แล้วกด Enter
  • เข้าสู่ Windows 10: sc config lanmanserver start=disabled สำหรับผู้อื่น เวอร์ชันของ Windows: sc config lanmanserver start= ปิดการใช้งาน และกด Enter
  • รีสตาร์ทคอมพิวเตอร์ของคุณ
  • ที่พรอมต์คำสั่ง ให้ป้อน netstat -n -a | findstr "กำลังฟัง" | findstr ":445" เพื่อให้แน่ใจว่าพอร์ตถูกปิดใช้งาน หากมีบรรทัดว่าง แสดงว่าพอร์ตไม่รับฟัง

หากจำเป็น ให้เปิดพอร์ตกลับ:

  • เรียกใช้ Command Prompt (cmd.exe) ในฐานะผู้ดูแลระบบ
  • ป้อนสำหรับ Windows 10: sc config lanmanserver start=auto สำหรับ Windows เวอร์ชันอื่น: sc config lanmanserver start= auto แล้วกด Enter
  • รีสตาร์ทคอมพิวเตอร์ของคุณ
บันทึก: Windows ใช้พอร์ต 445 สำหรับการแชร์ไฟล์ การปิดพอร์ตนี้ไม่ได้ป้องกันพีซีจากการเชื่อมต่อกับทรัพยากรระยะไกลอื่น ๆ แต่พีซีเครื่องอื่นจะไม่สามารถเชื่อมต่อกับระบบได้

ทุกวันนี้ บางที มีเพียงคนที่อยู่ห่างไกลจากอินเทอร์เน็ตเท่านั้นที่ไม่ตระหนักถึงการติดไวรัสจำนวนมากในคอมพิวเตอร์ด้วยโทรจันเข้ารหัส WannaCry (“ฉันอยากจะร้องไห้”) ที่เริ่มเมื่อวันที่ 12 พฤษภาคม 2017 และผมจะแบ่งปฏิกิริยาของผู้รู้ออกเป็น 2 ประเภทตรงข้ามกัน คือ ความเฉยเมย และ ความตื่นตระหนก สิ่งนี้หมายความว่าอย่างไร?

และความจริงที่ว่าข้อมูลที่ไม่เป็นชิ้นเป็นอันไม่ได้ให้ความเข้าใจอย่างถ่องแท้เกี่ยวกับสถานการณ์ทำให้เกิดการคาดเดาและทิ้งคำถามมากกว่าคำตอบไว้เบื้องหลัง เพื่อที่จะทำความเข้าใจกับสิ่งที่เกิดขึ้นจริง กับใครและภัยคุกคามอะไร วิธีป้องกันตัวเองจากการติดไวรัส และวิธีถอดรหัสไฟล์ที่เสียหายจาก WannaCry บทความของวันนี้จึงเน้นไปที่เรื่องนี้โดยเฉพาะ

“ปีศาจ” น่ากลัวจริงหรือ?

ฉันไม่เข้าใจว่าเอะอะทั้งหมดเกี่ยวกับอะไรอยากร้องไห้เหรอ? มีไวรัสมากมาย ตัวใหม่ ๆ ก็ปรากฏขึ้นอย่างต่อเนื่อง มีอะไรพิเศษเกี่ยวกับอันนี้?

WannaCry (ชื่ออื่น WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) ไม่ใช่มัลแวร์ไซเบอร์ทั่วไป สาเหตุของความอื้อฉาวของเขาคือความเสียหายที่เกิดขึ้นจำนวนมหาศาล ตามข้อมูลของ Europol มันขัดขวางการทำงานของคอมพิวเตอร์มากกว่า 200,000 เครื่องภายใต้ การควบคุมหน้าต่างใน 150 ประเทศทั่วโลก และความเสียหายที่เจ้าของได้รับนั้นมีมูลค่ามากกว่า 1,000,000,000 ดอลลาร์ และนี่เป็นเพียงช่วง 4 วันแรกของการจำหน่ายเท่านั้น เหยื่อส่วนใหญ่อยู่ในรัสเซียและยูเครน

ฉันรู้ว่าไวรัสเข้าสู่พีซีผ่านทางเว็บไซต์สำหรับผู้ใหญ่ ฉันไม่เยี่ยมชมแหล่งข้อมูลดังกล่าว ดังนั้นฉันจึงไม่ตกอยู่ในอันตราย

ไวรัส? ฉันมีปัญหาเหมือนกัน เมื่อไวรัสปรากฏบนคอมพิวเตอร์ของฉัน ฉันจะเรียกใช้ยูทิลิตี้ *** และหลังจากนั้นครึ่งชั่วโมงทุกอย่างก็เรียบร้อยดี และถ้ามันไม่ช่วย ฉันจะติดตั้ง Windows ใหม่

ไวรัสแตกต่างจากไวรัส WannaCry เป็นแรนซัมแวร์โทรจัน ซึ่งเป็นเวิร์มเครือข่ายที่สามารถแพร่กระจายผ่านเครือข่ายท้องถิ่นและอินเทอร์เน็ตจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยไม่ต้องมีการแทรกแซงจากมนุษย์

มัลแวร์ส่วนใหญ่ รวมถึงแรนซัมแวร์ จะเริ่มทำงานหลังจากที่ผู้ใช้ “กลืนเหยื่อ” เท่านั้น กล่าวคือ คลิกลิงก์ เปิดไฟล์ เป็นต้น หากต้องการติด WannaCry คุณไม่จำเป็นต้องทำอะไรเลย!

เมื่ออยู่ในคอมพิวเตอร์ Windows มัลแวร์จะเข้ารหัสไฟล์ผู้ใช้จำนวนมากในเวลาอันสั้น หลังจากนั้นจะแสดงข้อความเรียกร้องค่าไถ่ 300-600 ดอลลาร์ ซึ่งจะต้องโอนไปยังกระเป๋าเงินที่ระบุภายใน 3 วัน ในกรณีที่เกิดความล่าช้า เขาขู่ว่าจะทำให้การถอดรหัสไฟล์เป็นไปไม่ได้ใน 7 วัน


ในขณะเดียวกัน มัลแวร์ก็มองหาช่องโหว่เพื่อเจาะคอมพิวเตอร์เครื่องอื่น และหากพบก็จะแพร่ระบาดไปยังเครือข่ายท้องถิ่นทั้งหมด ซึ่งหมายความว่าสำเนาสำรองของไฟล์ที่จัดเก็บไว้ในเครื่องใกล้เคียงจะใช้งานไม่ได้เช่นกัน

การลบไวรัสออกจากคอมพิวเตอร์ไม่ได้ถอดรหัสไฟล์!ติดตั้งระบบปฏิบัติการใหม่ด้วย ในทางตรงกันข้าม หากติดแรนซัมแวร์ การกระทำทั้งสองนี้อาจทำให้คุณไม่สามารถกู้คืนไฟล์ได้แม้ว่าคุณจะมีรหัสที่ถูกต้องก็ตาม

ใช่แล้ว “เวรกรรม” ค่อนข้างน่ากลัว

WannaCry แพร่กระจายอย่างไร

คุณกำลังโกหก. ไวรัสสามารถเข้าสู่คอมพิวเตอร์ของฉันได้ก็ต่อเมื่อฉันดาวน์โหลดมันด้วยตัวเอง และฉันก็ระมัดระวัง

โปรแกรมมัลแวร์จำนวนมากสามารถแพร่เชื้อคอมพิวเตอร์ (และ อุปกรณ์เคลื่อนที่เช่นกัน) ผ่านช่องโหว่ - ข้อผิดพลาดในรหัสของส่วนประกอบระบบปฏิบัติการและโปรแกรมที่เปิดโอกาสให้ผู้โจมตีทางไซเบอร์ใช้เครื่องระยะไกลเพื่อวัตถุประสงค์ของตนเอง โดยเฉพาะอย่างยิ่ง WannaCry แพร่กระจายผ่านช่องโหว่ 0 วันในโปรโตคอล SMB (ช่องโหว่แบบ Zero-day คือข้อผิดพลาดที่ไม่ได้รับการแก้ไขในขณะที่ถูกมัลแวร์/สปายแวร์หาประโยชน์)

นั่นคือในการติดเชื้อคอมพิวเตอร์ด้วยเวิร์ม ransomware เงื่อนไขสองประการก็เพียงพอแล้ว:

  • การเชื่อมต่อกับเครือข่ายที่มีเครื่องอื่นที่ติดไวรัส (อินเทอร์เน็ต)
  • การมีอยู่ของช่องโหว่ที่อธิบายไว้ข้างต้นในระบบ

การติดเชื้อนี้มาจากไหน? นี่เป็นผลงานของแฮกเกอร์ชาวรัสเซียหรือไม่?

ตามรายงานบางฉบับ (ฉันไม่รับผิดชอบต่อความถูกต้อง) สำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกาเป็นหน่วยงานแรกที่ค้นพบข้อบกพร่องในโปรโตคอลเครือข่าย SMB ซึ่งใช้สำหรับการเข้าถึงไฟล์และเครื่องพิมพ์ใน Windows จากระยะไกลตามกฎหมาย แทนที่จะรายงานให้ Microsoft ทราบเพื่อแก้ไขข้อผิดพลาด NSA ตัดสินใจใช้ข้อผิดพลาดดังกล่าวด้วยตนเองและพัฒนาช่องโหว่สำหรับสิ่งนี้ (โปรแกรมที่ใช้ประโยชน์จากช่องโหว่)


การแสดงภาพการเปลี่ยนแปลงของการเผยแพร่ WannaCry บนเว็บไซต์ intel.malwaretech.com

ต่อจากนั้นการหาประโยชน์นี้ (ชื่อรหัสว่า EternalBlue) ซึ่งให้บริการ NSA ในการเจาะคอมพิวเตอร์โดยที่เจ้าของไม่ทราบมาระยะหนึ่งถูกแฮกเกอร์ขโมยไปและสร้างพื้นฐานสำหรับการสร้างแรนซัมแวร์ WannaCry นั่นคือ ต้องขอบคุณการดำเนินการที่ไม่ถูกต้องตามกฎหมายและจริยธรรมของหน่วยงานรัฐบาลสหรัฐฯ ผู้เขียนไวรัสจึงได้เรียนรู้เกี่ยวกับช่องโหว่ดังกล่าว

ฉันปิดใช้งานการติดตั้งการอัปเดตหน้าต่าง มีความจำเป็นอะไรเมื่อทุกอย่างทำงานได้โดยไม่มีพวกเขา

สาเหตุของการแพร่กระจายอย่างรวดเร็วและแพร่หลายของโรคระบาดคือการไม่มี "แพตช์" ในขณะนั้น - การอัปเดต Windows ที่สามารถปิดช่องโหว่ของ Wanna Cry ได้ ท้ายที่สุดแล้วต้องใช้เวลาในการพัฒนา

ปัจจุบันมีแพทช์ดังกล่าวอยู่ ผู้ใช้ที่อัปเดตระบบจะได้รับมันโดยอัตโนมัติภายในชั่วโมงแรกของการเปิดตัว และผู้ที่เชื่อว่าไม่จำเป็นต้องอัปเดตก็ยังเสี่ยงต่อการติดเชื้อ

ใครบ้างที่มีความเสี่ยงจากการโจมตีของ WannaCry และจะป้องกันอย่างไร

เท่าที่ฉันรู้ คอมพิวเตอร์มากกว่า 90% ติดไวรัสWannaCry ดำเนินการโดยWindows 7 ฉันมี “สิบ” ซึ่งหมายความว่าฉันไม่ตกอยู่ในอันตราย

ระบบปฏิบัติการทั้งหมดที่ใช้ โปรโตคอลเครือข่ายธุรกิจขนาดกลางและขนาดย่อม v1. นี้:

  • วินโดวส์เอ็กซ์พี
  • วินโดวส์วิสต้า
  • วินโดวส์ 7
  • วินโดวส์ 8
  • วินโดวส์ 8.1
  • วินโดวส์ RT 8.1
  • วินโดวส์ 10 ถึง 1511
  • วินโดว์ 10 เวอร์ชัน 1607
  • วินโดวส์เซิร์ฟเวอร์ 2003
  • วินโดวส์เซิร์ฟเวอร์ 2008
  • วินโดวส์เซิร์ฟเวอร์ 2012
  • วินโดวส์เซิร์ฟเวอร์ 2016

ปัจจุบันนี้ผู้ใช้ระบบที่ยังไม่มีการ การอัปเดตความปลอดภัยที่สำคัญ MS17-010(สามารถดาวน์โหลดได้ฟรีจาก technet.microsoft.com ที่เชื่อมโยงกับ) สามารถดาวน์โหลดแพตช์สำหรับ Windows XP, Windows Server 2003, Windows 8 และระบบปฏิบัติการอื่นๆ ที่ไม่รองรับได้ จากหน้านี้ support.microsoft.com- นอกจากนี้ยังอธิบายวิธีการตรวจสอบการมีอยู่ของการอัปเดตช่วยชีวิตอีกด้วย

หากคุณไม่ทราบเวอร์ชันของระบบปฏิบัติการบนคอมพิวเตอร์ของคุณ ให้กดปุ่ม Win+R พร้อมกันแล้วรันคำสั่ง winver


เพื่อปรับปรุงความปลอดภัยและหากไม่สามารถอัปเดตระบบได้ในขณะนี้ Microsoft จะให้คำแนะนำในการปิดใช้งานโปรโตคอล SMB เวอร์ชัน 1 ชั่วคราว ซึ่งอยู่และ นอกจากนี้ แต่ไม่จำเป็น คุณสามารถปิดพอร์ต TCP 445 ซึ่งให้บริการ SMB ผ่านไฟร์วอลล์ได้

ฉันมีแอนตี้ไวรัสที่ดีที่สุดในโลก *** ด้วยสิ่งนี้ ฉันสามารถทำอะไรก็ได้และไม่กลัวสิ่งใดเลย

การแพร่กระจายของ WannaCry สามารถเกิดขึ้นได้ไม่เพียงแต่โดยวิธีการขับเคลื่อนด้วยตนเองที่อธิบายไว้ข้างต้น แต่ยังเกิดขึ้นในรูปแบบปกติด้วย - ผ่าน โซเชียลมีเดีย, อีเมล, แหล่งข้อมูลบนเว็บที่ติดไวรัสและฟิชชิ่ง ฯลฯ และก็มีกรณีเช่นนี้ หากคุณดาวน์โหลดและเรียกใช้ มัลแวร์ด้วยตนเอง ดังนั้นทั้งโปรแกรมป้องกันไวรัสหรือโปรแกรมแก้ไขที่ปิดช่องโหว่จะไม่ช่วยคุณจากการติดไวรัส

ไวรัสทำงานอย่างไร เข้ารหัสอะไร

ใช่ ให้เขาเข้ารหัสสิ่งที่เขาต้องการ ฉันมีเพื่อนที่เป็นโปรแกรมเมอร์เขาจะถอดรหัสทุกอย่างให้ฉัน วิธีสุดท้าย เราจะค้นหากุญแจโดยใช้กำลังดุร้าย

มันเข้ารหัสไฟล์สองสามไฟล์ แล้วไงล่ะ? สิ่งนี้จะไม่ขัดขวางไม่ให้ฉันทำงานกับคอมพิวเตอร์

น่าเสียดายที่มันไม่สามารถถอดรหัสได้ เนื่องจากไม่มีวิธีใดที่จะถอดรหัสอัลกอริธึมการเข้ารหัส RSA-2048 ที่ Wanna Cry ใช้และจะไม่ปรากฏในอนาคตอันใกล้ และมันจะเข้ารหัสไม่เพียงแค่ไฟล์สองสามไฟล์ แต่เกือบทุกอย่าง

ฉันจะไม่ให้คำอธิบายโดยละเอียดเกี่ยวกับวิธีการทำงานของมัลแวร์ ใครก็ตามที่สนใจสามารถอ่านบทวิเคราะห์ได้ เช่น ในบล็อกของผู้เชี่ยวชาญของ Microsoft Matt Suiche ฉันจะบันทึกเฉพาะช่วงเวลาที่สำคัญที่สุดเท่านั้น

ไฟล์ที่มีนามสกุลต่อไปนี้จะถูกเข้ารหัส: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

อย่างที่คุณเห็น มีเอกสาร รูปภาพ วิดีโอเสียง ไฟล์เก็บถาวร เมล และไฟล์ที่สร้างขึ้นในโปรแกรมต่างๆ... มัลแวร์พยายามเข้าถึงทุกไดเร็กทอรีในระบบ

วัตถุที่เข้ารหัสจะได้รับส่วนขยายสองเท่า ด้วยคำลงท้าย WNCRYตัวอย่างเช่น "Document1.doc.WNCRY"


หลังจากการเข้ารหัส ไวรัสจะคัดลอกไฟล์ปฏิบัติการไปยังแต่ละโฟลเดอร์ @[ป้องกันอีเมล] – คาดว่าจะถอดรหัสหลังจากเรียกค่าไถ่ เช่นเดียวกับเอกสารข้อความ @[ป้องกันอีเมล] พร้อมข้อความสำหรับผู้ใช้

ต่อไปเขาพยายามที่จะทำลาย สำเนาเงาและจุด การกู้คืนวินโดวส์- หาก UAC ทำงานอยู่บนระบบ ผู้ใช้จะต้องยืนยันการดำเนินการนี้ หากคุณปฏิเสธคำขอ ยังคงมีโอกาสที่จะกู้คืนข้อมูลจากสำเนาได้

WannaCry จะส่งคีย์เข้ารหัสของระบบที่ได้รับผลกระทบไปยังศูนย์สั่งการที่อยู่บนเครือข่าย Tor หลังจากนั้นจะลบคีย์เหล่านั้นออกจากคอมพิวเตอร์ หากต้องการค้นหาเครื่องที่มีช่องโหว่อื่นๆ ระบบจะสแกนเครือข่ายท้องถิ่นและช่วง IP ที่กำหนดเองบนอินเทอร์เน็ต และเมื่อพบแล้ว ก็จะเจาะทุกอย่างที่สามารถเข้าถึงได้

ปัจจุบัน นักวิเคราะห์ทราบถึงการเปลี่ยนแปลงของ WannaCry หลายประการด้วยกลไกการกระจายที่แตกต่างกัน และเราควรคาดหวังว่าจะมีสิ่งใหม่ๆ เกิดขึ้นในอนาคตอันใกล้นี้

จะทำอย่างไรถ้า WannaCry ติดไวรัสคอมพิวเตอร์ของคุณแล้ว

ฉันเห็นไฟล์เปลี่ยนนามสกุล เกิดอะไรขึ้น? จะหยุดสิ่งนี้ได้อย่างไร?

การเข้ารหัสไม่ใช่กระบวนการที่ทำเพียงครั้งเดียว แม้ว่าจะใช้เวลาไม่นานเกินไปก็ตาม หากคุณสังเกตเห็นก่อนที่ข้อความแรนซัมแวร์จะปรากฏขึ้นบนหน้าจอ คุณสามารถบันทึกไฟล์บางไฟล์ได้โดยการปิดเครื่องคอมพิวเตอร์ทันที ไม่ใช่การปิดระบบแต่ โดยการถอดปลั๊กออกจากเต้ารับ!

เมื่อ Windows บู๊ตในโหมดปกติ การเข้ารหัสจะดำเนินต่อไป ดังนั้นการป้องกันจึงเป็นเรื่องสำคัญ การเริ่มต้นคอมพิวเตอร์ครั้งต่อไปจะต้องเกิดขึ้นในเซฟโหมดซึ่งไวรัสไม่ทำงานหรือจากสื่อที่สามารถบู๊ตได้อื่น

ไฟล์ของฉันถูกเข้ารหัส! ไวรัสต้องการค่าไถ่สำหรับพวกเขา! จะทำอย่างไรจะถอดรหัสได้อย่างไร?

การถอดรหัสไฟล์หลังจาก WannaCry สามารถทำได้ก็ต่อเมื่อคุณมีรหัสลับ ซึ่งผู้โจมตีสัญญาว่าจะจัดเตรียมให้ทันทีที่เหยื่อโอนเงินค่าไถ่ให้พวกเขา อย่างไรก็ตาม คำสัญญาดังกล่าวแทบไม่เคยเป็นจริงเลย: เหตุใดผู้เผยแพร่มัลแวร์จะต้องกังวลหากพวกเขาได้สิ่งที่ต้องการแล้ว?

ในบางกรณี ปัญหาสามารถแก้ไขได้โดยไม่ต้องเรียกค่าไถ่ จนถึงปัจจุบัน มีการพัฒนาตัวถอดรหัส WannaCry 2 ตัว: วอนนาคีย์(โดย เอเดรียน กิเนต์) และ วานากีวี(โดย เบนจามิน เดลพี) อันแรกใช้งานได้เฉพาะใน Windows XP และอันที่สองที่สร้างขึ้นบนพื้นฐานของอันแรกใช้งานได้ใน Windows XP, Vista และ 7 x86 รวมถึงในระบบภาคเหนือ 2003, 2008 และ 2008R2 x86

อัลกอริธึมการทำงานของตัวถอดรหัสทั้งสองนั้นขึ้นอยู่กับการค้นหาคีย์ลับในหน่วยความจำของกระบวนการเข้ารหัส ซึ่งหมายความว่าเฉพาะผู้ที่ไม่มีเวลารีสตาร์ทคอมพิวเตอร์เท่านั้นจึงจะมีโอกาสถอดรหัสได้ และหากเวลาผ่านไปไม่นานนักตั้งแต่การเข้ารหัส (หน่วยความจำไม่ได้ถูกเขียนทับโดยกระบวนการอื่น)

ดังนั้นถ้าคุณ ผู้ใช้วินโดวส์ XP-7 x86 สิ่งแรกที่ต้องทำหลังจากข้อความเรียกค่าไถ่ปรากฏขึ้นคือตัดการเชื่อมต่อคอมพิวเตอร์ เครือข่ายท้องถิ่นและอินเทอร์เน็ตและเรียกใช้ตัวถอดรหัส WanaKiwi ที่ดาวน์โหลดบนอุปกรณ์อื่น ก่อนที่จะถอดกุญแจออก อย่าดำเนินการอื่นใดกับคอมพิวเตอร์!

คุณสามารถอ่านคำอธิบายการทำงานของตัวถอดรหัส WanaKiwi ได้ในบล็อกอื่นของ Matt Suiche

หลังจากถอดรหัสไฟล์แล้ว ให้เรียกใช้โปรแกรมป้องกันไวรัสเพื่อลบมัลแวร์และติดตั้งแพตช์ที่ปิดเส้นทางการแจกจ่าย

ปัจจุบัน WannaCry ได้รับการยอมรับจากโปรแกรมป้องกันไวรัสเกือบทั้งหมด ยกเว้นโปรแกรมที่ไม่ได้รับการอัปเดต ดังนั้นเกือบทุกโปรแกรมก็สามารถทำได้


จะใช้ชีวิตนี้ต่อไปได้อย่างไร

โรคระบาดที่ขับเคลื่อนด้วยตนเองนี้ทำให้โลกประหลาดใจ สำหรับบริการรักษาความปลอดภัยทุกประเภท กลับกลายเป็นสิ่งที่ไม่คาดคิดเหมือนกับการเริ่มต้นฤดูหนาวในวันที่ 1 ธันวาคมสำหรับพนักงานสาธารณูปโภค เหตุผลก็คือความประมาทและความบังเอิญ ผลที่ตามมาคือการสูญเสียข้อมูลและความเสียหายอย่างไม่อาจแก้ไขได้ และสำหรับผู้สร้างมัลแวร์ นี่เป็นแรงจูงใจที่จะดำเนินต่อไปด้วยจิตวิญญาณเดียวกัน

ตามที่นักวิเคราะห์ระบุว่า WanaCry นำเงินปันผลที่ดีมากมาสู่ผู้จัดจำหน่าย ซึ่งหมายความว่าการโจมตีเช่นนี้จะเกิดขึ้นซ้ำอีก และผู้ที่ถูกพาไปตอนนี้ก็ไม่จำเป็นต้องถูกพาไปในภายหลัง แน่นอนถ้าคุณไม่กังวลเรื่องนี้ล่วงหน้า

ดังนั้น เพื่อที่คุณจะได้ไม่ต้องร้องไห้กับไฟล์ที่เข้ารหัส:

  • อย่าปฏิเสธที่จะติดตั้งระบบปฏิบัติการและการอัปเดตแอปพลิเคชัน สิ่งนี้จะปกป้องคุณจากภัยคุกคาม 99% ที่แพร่กระจายผ่านช่องโหว่ที่ไม่ได้รับแพตช์
  • เก็บไว้บน.
  • สร้างสำเนาสำรองของไฟล์สำคัญและจัดเก็บไว้ในสื่อทางกายภาพอื่นหรือดีกว่านั้นในหลายๆ ไฟล์ ในเครือข่ายองค์กร เป็นการดีที่สุดที่จะใช้ฐานข้อมูลการจัดเก็บข้อมูลแบบกระจาย ผู้ใช้ตามบ้านสามารถใช้งานได้ฟรี บริการคลาวด์เช่น Yandex Drive, Google Drive, OneDrive, MEGASynk ฯลฯ อย่าให้แอปพลิเคชันเหล่านี้ทำงานเมื่อคุณไม่ได้ใช้งาน
  • เลือกระบบปฏิบัติการที่เชื่อถือได้ Windows XP ไม่ใช่แบบนั้น
  • ติดตั้งโปรแกรมป้องกันไวรัสระดับครอบคลุม ความปลอดภัยทางอินเทอร์เน็ตและการป้องกันเพิ่มเติมจากแรนซัมแวร์ เช่น Kaspersky Endpoint Security หรือแอนะล็อกจากนักพัฒนารายอื่น
  • เพิ่มระดับความรู้ของคุณในการตอบโต้โทรจันแรนซัมแวร์ ตัวอย่างเช่น ผู้ผลิตโปรแกรมป้องกันไวรัส Dr.Web ได้เตรียมไว้สำหรับผู้ใช้และผู้ดูแลระบบ ระบบต่างๆหลักสูตรการฝึกอบรม ข้อมูลที่มีประโยชน์มากมายและที่สำคัญคือเชื่อถือได้มีอยู่ในบล็อกของนักพัฒนา A/V คนอื่นๆ

และที่สำคัญที่สุด: แม้ว่าคุณจะต้องทนทุกข์ทรมานก็ตาม อย่าโอนเงินไปให้ผู้โจมตีเพื่อถอดรหัส ความน่าจะเป็นที่คุณจะถูกหลอกคือ 99% ยิ่งกว่านั้นหากไม่มีใครจ่ายเงิน ธุรกิจกรรโชกทรัพย์ก็จะไร้ความหมาย มิฉะนั้นการแพร่กระจายของเชื้อดังกล่าวก็จะเพิ่มมากขึ้นเท่านั้น

ในบทความนี้ คุณจะได้เรียนรู้ว่าต้องทำอย่างไรหากคอมพิวเตอร์ของคุณถูกไวรัส Wanna Cry โจมตี รวมถึงสิ่งที่ควรทำเพื่อหลีกเลี่ยงการสูญเสียไฟล์ในฮาร์ดไดรฟ์

ไวรัส Wcryptเป็นแรนซัมแวร์ที่ล็อคไฟล์ทั้งหมดบนคอมพิวเตอร์หรือเครือข่ายที่ติดไวรัส และเรียกร้องค่าไถ่เพื่อแลกกับโซลูชันการกู้คืนข้อมูล

ไวรัสเวอร์ชันแรกปรากฏในเดือนกุมภาพันธ์ 2560 และตอนนี้มีชื่อต่าง ๆ เช่น WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 หรือแม้แต่ DarkoderCrypt0r

เมื่อโปรแกรมอันตรายนี้แอบเข้าไปในระบบคอมพิวเตอร์ มันจะเข้ารหัสข้อมูลทั้งหมดที่จัดเก็บไว้ในนั้นภายในเวลาไม่กี่วินาที ในระหว่างขั้นตอนนี้ ไวรัสอาจเพิ่มนามสกุลไฟล์ .Wcrypt ให้กับไฟล์ที่ได้รับผลกระทบ

เป็นที่ทราบกันว่าไวรัสเวอร์ชันอื่นๆ เพิ่มนามสกุลไฟล์ .wcry หรือ .wncry วัตถุประสงค์ของขั้นตอนการเข้ารหัสนี้คือเพื่อทำให้ข้อมูลของเหยื่อไร้ประโยชน์และเรียกร้องค่าไถ่ เหยื่อสามารถเพิกเฉยต่อเครื่องมือแรนซัมแวร์ได้อย่างง่ายดายในกรณีที่เขามีการสำรองข้อมูล

อย่างไรก็ตาม ในกรณีส่วนใหญ่ ผู้ใช้คอมพิวเตอร์ลืมสร้างสำเนาข้อมูลเหล่านี้ในเวลาที่เหมาะสม ในกรณีนี้ วิธีเดียวที่จะกู้คืนไฟล์ที่เข้ารหัสได้คือการจ่ายเงินให้กับอาชญากรไซเบอร์ แต่เราขอแนะนำอย่างยิ่งให้คุณอย่าทำเช่นนี้

โปรดจำไว้ว่านักต้มตุ๋นมักจะไม่สนใจที่จะโต้ตอบกับเหยื่อหลังจากได้รับค่าไถ่เพราะพวกเขากำลังมองหาเงินเท่านั้น เราขอแนะนำให้ลบแรนซัมแวร์ออกโดยใช้เครื่องมือป้องกันมัลแวร์ เช่น Reimage หรือ Plumbytes ตามคำแนะนำในการลบ Wcrypt ที่เราให้ไว้ด้านล่าง

หลังจากเข้ารหัสไฟล์ทั้งหมดของระบบเป้าหมาย ไวรัสจะเปลี่ยนวอลเปเปอร์เดสก์ท็อปเป็นภาพสีดำพร้อมข้อความระบุว่าข้อมูลที่เก็บไว้ในคอมพิวเตอร์ได้รับการเข้ารหัส

ภาพคล้ายกัน เวอร์ชันล่าสุด Cryptolocker อธิบายวิธีการกู้คืนไฟล์ @WanaDecryptor.exe, ถ้า โปรแกรมป้องกันไวรัสทำให้เขาถูกกักกัน จากนั้นมัลแวร์ก็ส่งข้อความถึงเหยื่อว่า: “โอ้ ไฟล์ของคุณถูกเข้ารหัส!”และระบุที่อยู่กระเป๋าเงิน Bitcoin ราคาค่าไถ่ (จาก $300) และคำแนะนำในการซื้อ Bitcoin ไวรัสยอมรับค่าไถ่ใน Bitcoin cryptocurrency เท่านั้น

อย่างไรก็ตามเหยื่อจะต้องจ่ายเงินภายในสามวันหลังจากติดเชื้อ ไวรัสยังสัญญาว่าจะลบไฟล์ที่เข้ารหัสทั้งหมดหากเหยื่อไม่ชำระเงินภายในหนึ่งสัปดาห์ ดังนั้นเราขอแนะนำให้คุณลบ Wcrypt โดยเร็วที่สุดเพื่อไม่ให้ไฟล์ในคอมพิวเตอร์หรือแล็ปท็อปของคุณเสียหาย

ไวรัส Wcrypt แพร่กระจายอย่างไร?

Wcrypt หรือที่รู้จักกันในชื่อ WansCry ransomware สร้างความตื่นตระหนกให้กับชุมชนเสมือนจริงเมื่อวันที่ 12 พฤษภาคม 2017 ในวันนี้ มีการโจมตีทางไซเบอร์ครั้งใหญ่ต่อผู้ใช้ ไมโครซอฟต์ วินโดวส์- ผู้โจมตีใช้ช่องโหว่ EternalBlue เพื่อแพร่เชื้อระบบคอมพิวเตอร์และจับไฟล์ทั้งหมดของเหยื่อ

นอกจากนี้ ผลประโยชน์ยังทำงานเป็นงานในการค้นหาคอมพิวเตอร์ที่เชื่อมต่อและทำซ้ำกับคอมพิวเตอร์เหล่านั้น แม้ว่าจะเปิดอยู่ก็ตาม ในขณะนี้แม้ว่าดูเหมือนว่าแรนซัมแวร์ไม่ได้กำหนดเป้าหมายไปที่เหยื่อรายใหม่อีกต่อไป (เนื่องจากนักวิจัยด้านความปลอดภัยหยุดการโจมตีทางไซเบอร์โดยไม่ได้ตั้งใจ) ผู้เชี่ยวชาญรายงานว่ายังเร็วเกินไปที่จะยินดี

ผู้เขียนมัลแวร์อาจซ่อนวิธีอื่นในการแพร่กระจายไวรัส ดังนั้นผู้ใช้คอมพิวเตอร์ควรใช้มาตรการที่เป็นไปได้ทั้งหมดเพื่อปกป้องคอมพิวเตอร์ของตนจากการโจมตีทางไซเบอร์ แม้ว่าเราจะแนะนำให้ติดตั้งก็ตาม ซอฟต์แวร์เพื่อปกป้องพีซีของคุณจากมัลแวร์และอัปเดตโปรแกรมทั้งหมดบนพีซีเป็นประจำ

น่าสังเกตที่เราเช่นเดียวกับคนอื่นๆ แนะนำให้สร้างสำเนาข้อมูลอันมีค่าของคุณและถ่ายโอนข้อมูลไป อุปกรณ์ภายนอกการจัดเก็บข้อมูล

วิธีการลบไวรัส Wcrypt? ฉันควรทำอย่างไรหาก Wcrypt ปรากฏบนคอมพิวเตอร์ของฉัน?

ด้วยเหตุผลดังกล่าวข้างต้น คุณต้องลบไวรัส Wcrypt โดยเร็วที่สุด การเก็บคอมพิวเตอร์ไว้ในระบบนั้นไม่ปลอดภัย เนื่องจากสามารถทำซ้ำบนคอมพิวเตอร์เครื่องอื่นหรืออุปกรณ์พกพาอื่น ๆ ได้อย่างรวดเร็วหากมีคนเชื่อมต่อกับพีซีที่ถูกบุกรุก

วิธีที่ปลอดภัยที่สุดในการลบ Wcrypt ให้สมบูรณ์คือทำการสแกนระบบทั้งหมดโดยใช้ซอฟต์แวร์ป้องกันไวรัส คุณต้องเตรียมคอมพิวเตอร์ก่อนจึงจะใช้งานได้ ทำตามคำแนะนำเหล่านี้เพื่อลบไวรัสอย่างสมบูรณ์

วิธีที่ 1: ถอนการติดตั้ง WCrypt ในเซฟโหมดผ่านเครือข่าย

  • ขั้นตอนที่ 1: รีสตาร์ทคอมพิวเตอร์ในเซฟโหมดโดยใช้ระบบเครือข่าย

วินโดวส์ 7/วิสต้า/XP

  1. คลิก เริ่มปิดเครื่องรีสตาร์ทตกลง.
  2. เมื่อหน้าจอปรากฏขึ้น ให้เริ่มแตะ F8 .
  3. เลือกจากรายการ เซฟโหมดพร้อมการบูต ไดรเวอร์เครือข่าย.

วินโดวส์ 10/วินโดวส์ 8

  1. กะ "รีบูต"
  2. ตอนนี้เลือก “การแก้ไขปัญหา”« ตัวเลือกเพิ่มเติม» “การตั้งค่าเริ่มต้น”และกด
  3. "เปิดเครื่อง เซฟโหมดพร้อมโหลดไดรเวอร์เครือข่าย"ในหน้าต่าง "ตัวเลือกการบูต"
  • ขั้นตอนที่ 2: ลบ WCrypt

เข้าสู่ระบบการติดเชื้อของคุณ บัญชีและเปิดเบราว์เซอร์ของคุณ ดาวน์โหลด Reimage.dllหรือโปรแกรมป้องกันสปายแวร์ที่ถูกกฎหมายอื่นๆ อัปเดตก่อนที่จะสแกนทั้งระบบและลบไฟล์ที่เป็นอันตราย

หาก WCrypt บล็อก Safe Mode ไม่ให้โหลดไดรเวอร์เครือข่าย ให้ลองใช้วิธีอื่น

วิธีที่ 2: ถอนการติดตั้ง WCrypt โดยใช้ System Restore

วินโดวส์ 7/วิสต้า/XP

  1. คลิก เริ่มปิดเครื่องรีบูตตกลง.
  2. เมื่อคอมพิวเตอร์ของคุณใช้งานได้ ให้เริ่มคลิก F8หลายครั้งจนกระทั่งคุณเห็นหน้าต่าง "ตัวเลือกการบูตขั้นสูง".
  3. เลือก "เซฟโหมดพร้อมรองรับบรรทัดคำสั่ง"จากรายการ

วินโดวส์ 10/วินโดวส์ 8

  1. กดปุ่มเปิดปิดบนหน้าจอเข้าสู่ระบบ Windows ตอนนี้กดค้างไว้ กะซึ่งอยู่บนแป้นพิมพ์ของคุณ แล้วกด "รีบูต".
  2. ตอนนี้เลือก “การแก้ไขปัญหา”"ตัวเลือกขั้นสูง"“การตั้งค่าเริ่มต้น”และกด
  3. เมื่อคอมพิวเตอร์ของคุณใช้งานได้ ให้เลือก "เปิดใช้งาน Safe Mode ด้วยการสนับสนุนบรรทัดคำสั่ง"ในหน้าต่าง "ตัวเลือกการบูต"


  1. เมื่อหน้าต่างพร้อมรับคำสั่งปรากฏขึ้น ให้พิมพ์ คืนค่าซีดีและกด เข้า.

2. ตอนนี้เข้า rstrui.exeและกดอีกครั้ง เข้า.

3. เมื่อหน้าต่างใหม่ปรากฏขึ้น ให้คลิก "ต่อไป"และเลือกจุดคืนค่าก่อนการแทรกซึมของ WCrypt หลังจากนั้นให้คลิก "ต่อไป."

4. ตอนนี้คลิก "ใช่"เพื่อดำเนินกระบวนการต่อไป

5. หลังจากนั้นคลิกที่ปุ่ม "พร้อม"เพื่อเริ่มการคืนค่าระบบ

  • หลังจากกู้คืนระบบเป็นวันที่ก่อนหน้า ให้บูตและสแกนคอมพิวเตอร์ของคุณด้วย Reimage และตรวจสอบว่าการลบ WCrypt สำเร็จหรือไม่

เราหวังว่าบทความนี้จะช่วยคุณแก้ปัญหาไวรัส WCrypt ได้!

วิดีโอ: ไวรัส Wanna Cry ยังคงแพร่ระบาดไปยังระบบคอมพิวเตอร์ทั่วโลก

พฤษภาคม 2560 จะกลายเป็นวันที่มืดมนสำหรับบริการรักษาความปลอดภัยข้อมูลในบันทึกประวัติศาสตร์ ในวันนี้ โลกได้เรียนรู้ว่าโลกเสมือนจริงที่ปลอดภัยนั้นเปราะบางและเปราะบางได้ ไวรัสแรนซัมแวร์ที่เรียกว่า Wanna decryptor หรือ wannacry ได้จับคอมพิวเตอร์มากกว่า 150,000 เครื่องทั่วโลก มีการบันทึกกรณีการติดเชื้อในกว่าร้อยประเทศ แน่นอนว่าการติดเชื้อทั่วโลกได้หยุดลงแล้ว แต่ความเสียหายมีเป็นล้าน คลื่นของแรนซั่มแวร์ยังคงส่งผลกระทบต่อเครื่องบางเครื่อง แต่จนถึงขณะนี้โรคระบาดได้ถูกควบคุมและหยุดยั้งแล้ว

WannaCry – คืออะไร และจะป้องกันตัวเองจากมันได้อย่างไร

Wanna decryptor อยู่ในกลุ่มของไวรัสที่เข้ารหัสข้อมูลบนคอมพิวเตอร์และรีดไถเงินจากเจ้าของ โดยทั่วไป จำนวนเงินค่าไถ่ข้อมูลของคุณอยู่ในช่วงตั้งแต่ 300 ถึง 600 เหรียญสหรัฐ ภายในหนึ่งวัน ไวรัสสามารถแพร่ระบาดไปยังเครือข่ายโรงพยาบาลเทศบาลในสหราชอาณาจักร เครือข่ายโทรทัศน์ขนาดใหญ่ในยุโรป และแม้แต่ส่วนหนึ่งของคอมพิวเตอร์ของกระทรวงกิจการภายในของรัสเซีย พวกเขาหยุดมันได้เนื่องจากสถานการณ์บังเอิญที่น่ายินดีโดยการลงทะเบียนโดเมนการยืนยันที่สร้างไว้ในรหัสไวรัสโดยผู้สร้างเพื่อหยุดการแพร่กระจายด้วยตนเอง

ไวรัสแพร่ระบาดในคอมพิวเตอร์ในลักษณะเดียวกับในกรณีอื่นๆ ส่วนใหญ่ การส่งจดหมาย โปรไฟล์โซเชียล และการท่องเว็บเป็นหลัก - วิธีการเหล่านี้เปิดโอกาสให้ไวรัสเจาะระบบของคุณและเข้ารหัสข้อมูลทั้งหมดของคุณ แต่สามารถเจาะเข้าไปได้โดยไม่ต้องดำเนินการใด ๆ อย่างชัดเจนผ่านช่องโหว่ของระบบและพอร์ตที่เปิดอยู่

WannaCry เจาะผ่านพอร์ต 445 โดยใช้ช่องโหว่ในระบบปฏิบัติการ Windows ซึ่งเพิ่งถูกปิดโดยการอัปเดตที่เผยแพร่ ดังนั้นหากพอร์ตนี้ปิดสำหรับคุณหรือคุณเพิ่งอัพเดต Windows จากสำนักงาน ไซต์นั้น คุณจึงไม่ต้องกังวลเรื่องการติดเชื้อ

ไวรัสทำงานตามรูปแบบต่อไปนี้ - แทนที่จะเป็นข้อมูลในไฟล์ของคุณ คุณจะได้รับปัญหาในภาษาอังคารที่เข้าใจยาก แต่เพื่อให้ได้คอมพิวเตอร์ปกติอีกครั้ง คุณจะต้องจ่ายเงินให้กับผู้โจมตี ผู้ที่ปลดปล่อยโรคระบาดนี้บนคอมพิวเตอร์ คนธรรมดาให้ใช้ bitcoins ในการชำระเงิน ดังนั้นจึงไม่สามารถระบุเจ้าของโทรจันชั่วร้ายได้ หากคุณไม่ชำระเงินภายใน 24 ชั่วโมง จำนวนค่าไถ่จะเพิ่มขึ้น

โทรจันเวอร์ชันใหม่แปลว่า "ฉันอยากจะร้องไห้" และการสูญเสียข้อมูลอาจทำให้ผู้ใช้บางคนถึงกับน้ำตาไหล ดังนั้นจึงเป็นการดีกว่าที่จะมีมาตรการป้องกันและป้องกันการติดเชื้อ

Ransomware ใช้ประโยชน์จากช่องโหว่ใน ระบบวินโดวส์ซึ่งทาง Microsot ได้แก้ไขเรียบร้อยแล้ว คุณเพียงแค่ต้องอัปเดตระบบปฏิบัติการของคุณเป็นโปรโตคอลความปลอดภัย MS17-010 ลงวันที่ 14 มีนาคม 2017

อย่างไรก็ตาม เฉพาะผู้ใช้ที่มีระบบปฏิบัติการที่ได้รับอนุญาตเท่านั้นที่สามารถอัปเดตได้ หากคุณไม่ใช่คนเหล่านี้ เพียงดาวน์โหลดแพ็คเกจอัพเดตและติดตั้งด้วยตนเอง คุณเพียงแค่ต้องดาวน์โหลดจากแหล่งข้อมูลที่เชื่อถือได้เพื่อไม่ให้ติดไวรัสแทนที่จะป้องกัน

แน่นอนว่าการป้องกันสามารถอยู่ในระดับสูงสุดได้ แต่หลายอย่างขึ้นอยู่กับตัวผู้ใช้เอง อย่าลืมเปิดลิงก์ที่น่าสงสัยที่มาถึงคุณทางอีเมลหรือบนโปรไฟล์โซเชียลของคุณ

วิธีการรักษาไวรัสถอดรหัส Wanna

ผู้ที่คอมพิวเตอร์ติดไวรัสแล้วควรเตรียมพร้อมสำหรับกระบวนการรักษาที่ยาวนาน

ไวรัสทำงานบนคอมพิวเตอร์ของผู้ใช้และสร้างโปรแกรมหลายโปรแกรม หนึ่งในนั้นเริ่มเข้ารหัสข้อมูล ส่วนอีกอันให้การสื่อสารกับแรนซัมแวร์ คำจารึกปรากฏบนหน้าจอทำงานของคุณ โดยอธิบายให้คุณทราบว่าคุณตกเป็นเหยื่อของไวรัสและเสนอให้โอนเงินอย่างรวดเร็ว ในเวลาเดียวกันคุณไม่สามารถเปิดไฟล์เดียวได้และส่วนขยายประกอบด้วยตัวอักษรที่เข้าใจยาก

การดำเนินการแรกที่ผู้ใช้พยายามทำคือการกู้คืนข้อมูลโดยใช้บริการที่มีอยู่ใน Windows แต่เมื่อคุณรันคำสั่ง จะไม่มีอะไรเกิดขึ้นหรือความพยายามของคุณจะไร้ผล - การกำจัด Wanna Decryptor ไม่ใช่เรื่องง่าย

เมื่อวันที่ 12 พฤษภาคม บริษัทและหน่วยงานหลายแห่งในประเทศต่างๆ ของโลก รวมถึงรัสเซีย ต้องเผชิญกับไวรัสแรนซัมแวร์ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลระบุไวรัส WanaCrypt0r 2.0 (หรือที่เรียกว่า WCry และ WannaCry) ซึ่งเข้ารหัสไฟล์บางประเภทและเปลี่ยนนามสกุลเป็น .WNCRY

คอมพิวเตอร์ที่ติดไวรัส WannaCry จะถูกล็อคด้วยหน้าต่างข้อความที่ระบุว่าผู้ใช้มีเวลา 3 วันในการชำระค่าไถ่ (โดยปกติจะเท่ากับ 300 ดอลลาร์ใน Bitcoin) หลังจากนั้นราคาจะเพิ่มเป็นสองเท่า ถ้าคุณไม่จ่ายเงินภายใน 7 วัน ไฟล์ต่างๆ จะไม่สามารถกู้คืนได้

WannaCry กำหนดเป้าหมายเฉพาะคอมพิวเตอร์ที่ใช้ Windows เท่านั้น มันใช้ประโยชน์จากช่องโหว่ที่ Microsoft ได้ทำการแพตช์เมื่อเดือนมีนาคม อุปกรณ์เหล่านั้นที่ไม่ได้ติดตั้งแพตช์ความปลอดภัยล่าสุดถูกโจมตี ตามกฎแล้วคอมพิวเตอร์ของผู้ใช้ทั่วไปจะได้รับการอัปเดตทันที แต่ในองค์กรขนาดใหญ่ผู้เชี่ยวชาญพิเศษมีหน้าที่รับผิดชอบในการอัปเดตระบบซึ่งมักจะสงสัยในการอัปเดตและเลื่อนการติดตั้งออกไป

WannaCry อยู่ในหมวดหมู่ของไวรัส ransomware ซึ่งเป็นตัวเข้ารหัสที่ผู้ใช้ไม่รู้จักในเบื้องหลัง เข้ารหัสไฟล์และโปรแกรมสำคัญและเปลี่ยนนามสกุล จากนั้นจึงเรียกร้องเงินสำหรับการถอดรหัส หน้าต่างล็อคจะแสดงการนับถอยหลังเมื่อไฟล์จะถูกล็อคหรือลบอย่างถาวร ไวรัสสามารถเข้าสู่คอมพิวเตอร์โดยใช้การโจมตีระยะไกลผ่านสิ่งที่แฮกเกอร์รู้จักและไม่ได้ปิดล้อม ระบบปฏิบัติการช่องโหว่ รหัสไวรัสจะถูกเปิดใช้งานโดยอัตโนมัติในเครื่องที่ติดไวรัส และติดต่อกับเซิร์ฟเวอร์กลาง เพื่อรับคำแนะนำเกี่ยวกับข้อมูลที่จะแสดง บางครั้งแฮกเกอร์ก็เพียงพอที่จะแพร่ระบาดในคอมพิวเตอร์เพียงเครื่องเดียว และแพร่กระจายไวรัสผ่านเครือข่ายท้องถิ่นไปยังเครื่องอื่น

จากรายงานของ The Intercept นั้น WannaCry นั้นมีพื้นฐานมาจากเครื่องมือที่รั่วไหลออกมาซึ่งถูกใช้โดยสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา แฮกเกอร์อาจใช้ช่องโหว่ใน Windows ซึ่งก่อนหน้านี้รู้จักเฉพาะหน่วยข่าวกรองอเมริกันเท่านั้นในการฉีดไวรัสเข้าสู่คอมพิวเตอร์

ไวรัส WannaCry เป็นอันตรายเนื่องจากสามารถกู้คืนได้แม้หลังจากฟอร์แมตฮาร์ดไดรฟ์แล้ว กล่าวคือ ไวรัสอาจเขียนโค้ดในพื้นที่ที่ซ่อนไม่ให้ผู้ใช้เห็น

ไวรัสเวอร์ชันแรกๆ นี้เรียกว่า WeCry ซึ่งปรากฏในเดือนกุมภาพันธ์ 2017 และขู่กรรโชก 0.1 Bitcoin ($177 ตามอัตราแลกเปลี่ยนปัจจุบัน) WanaCrypt0r เป็นเวอร์ชันปรับปรุงของมัลแวร์นี้ ซึ่งผู้โจมตีสามารถระบุจำนวนเท่าใดก็ได้และเพิ่มขึ้นเมื่อเวลาผ่านไป ไม่ทราบผู้พัฒนาไวรัส และไม่แน่ใจว่าอยู่เบื้องหลังการโจมตีหรือไม่ พวกเขาอาจขายมัลแวร์ให้กับใครก็ตามที่ต้องการมันโดยได้รับการชำระเงินเพียงครั้งเดียว

เป็นที่ทราบกันดีว่าผู้จัดงานโจมตีเมื่อวันที่ 12 พฤษภาคมได้รับทั้งหมดอย่างน้อย 3.5 bitcoins ซึ่งก็คือมากกว่า 6,000 ดอลลาร์เล็กน้อยจากเหยื่อสองโหล ไม่ทราบว่าผู้ใช้สามารถปลดล็อคคอมพิวเตอร์และส่งคืนไฟล์ที่เข้ารหัสได้หรือไม่ บ่อยครั้งที่ผู้ที่ตกเป็นเหยื่อของแฮกเกอร์ที่จ่ายค่าไถ่จะได้รับคีย์หรือเครื่องมือถอดรหัสไฟล์ แต่บางครั้งพวกเขาก็ไม่ได้รับสิ่งใดเป็นการตอบแทน

เมื่อวันที่ 12 พฤษภาคม Microsoft ได้เปิดตัวแพตช์รักษาความปลอดภัยเพื่อตรวจจับและต่อต้านไวรัส Ransom:Win32/Wannacrypt สามารถติดตั้งได้ผ่านทาง Windows Update เพื่อปกป้องคอมพิวเตอร์ของคุณจาก WannaCry คุณต้องติดตั้งการอัปเดต Windows ทั้งหมดและตรวจสอบให้แน่ใจว่าได้ติดตั้งในตัวแล้ว โปรแกรมป้องกันไวรัสของ Windowsผู้พิทักษ์ นอกจากนี้ เป็นความคิดที่ดีที่จะคัดลอกข้อมูลที่มีค่าทั้งหมดไปยังคลาวด์ แม้ว่าไฟล์เหล่านั้นจะถูกเข้ารหัสบนคอมพิวเตอร์ของคุณ คุณยังคงสามารถกู้คืนไฟล์เหล่านั้นได้จากที่เก็บข้อมูลบนคลาวด์หรือถังรีไซเคิล ซึ่งเป็นที่เก็บไฟล์ที่ถูกลบไป