Как обезопасить себя от вируса, заразившего компьютеры по всему миру

Карту заражений в реальном времени можно наблюдать здесь. Фото habrahabr.ru
Карту заражений в реальном времени можно наблюдать здесь. Фото habrahabr.ru

Почти единовременные сообщения о масштабных сбоях во многих странах могли вызвать панику и ощущение незащищённости среди обычных пользователей сети.

Жертвами программы-шифровальщика в основном стали сервера крупных организаций, у которых злоумышленники намеревались украсть деньги. От воздействия не были застрахованы обычные пользователи, правда, защититься от вируса просто.

Распространение вируса

Вирус представляет собой новую версию WannaCry (WNCRY) и называется Wana Decrypt0r 2.0. Есть несколько способов заразить им компьютер. Вредоносное программное обеспечение может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки.

Но основным вариантом становятся отправленные на электронную почту письма. Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идёт о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).

Что делает вирус

Проникнув в систему, троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.

Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелёк. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.

Обновление

Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. Речь идёт о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

В антивирусе необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.

Удаление

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery.

Эти способы не гарантируют полного восстановления файлов.

Начинать новую жизнь в иммиграции сложно - многому нужно учиться почти с нуля, а рядом далеко не всегда есть те, кто поможет и поддержит.

“Рубик” очень хочет помочь людям переехать и преуспеть в США. Мы публикуем сотни материалов в месяц. Всегда подробную и проверенную информацию.

Мы общаемся с иммиграционными адвокатами и экспертами, чтобы они бесплатно отвечали на ваши вопросы и помогали не наделать дорогостоящих ошибок. Мы помогаем соотечественникам, оказавшимся в тяжелых обстоятельствах, и жертвам домашнего насилия. И мы создаем среду общения без агрессии и осуждения, модерируя для вас группы в фейсбуке.

Над “Рубиком” работает более десяти человек, и у нас много затрат - зарплаты, хостинг, почта и так далее. Мы не хотим вводить платную подписку, чтобы не лишить нуждающихся людей доступа к информации.

Поэтому в некоторые месяцы нам очень сложно перекрыть расходы. У нас нет внешних инвесторов со скрытыми мотивами (которые взамен денег всегда хотят влиять на редакцию). Проект основан и принадлежит журналисту и иммигрантке Катерине Пановой и живет исключительно за счет рекламных доходов и поддержки аудитории.

Пожалуйста, поучаствуйте в нашем стремлении помочь иммигрантам, поддержав редакцию. Даже несколько долларов, которые вы бы потратили на кофе, помогут нам подготовить материал, который сохранит кому-то последние деньги и не позволит отдать их мошенникам.