Айдер Муждабаев / Facebook
Чи варто платити зловмисникам, якщо зловили вірус? Як зробити так, щоб вірус не отримав жодного шансу залізти до вас у комп'ютер? Про новий вірус не так багато інформації, але його схожість з WannaCry дає нам шанс уберегтися від атаки
Україна вразив вірус-вимагач. Тисячі комп'ютерів по всій країні заражені, постраждали великі компанії і приватні особи. Фахівці кажуть, що вірус mbr locker 256 - це якийсь аналог відомого вірусу WannaCry, який став активно поширюватися по всьому світу 12 травня 2017 року. Спершу він вразив мережу закладів охорони здоров'я Великобританії, а потім перекинувся на організації в інших країнах, включаючи Україну.
Судячи з скриншотам екранів уражених комп'ютерів, вірус блокує доступ до файлів на комп'ютері, шифрує їх і вимагає викуп у розмірі 300 дол. На адресу Bitcoin-гаманця за їх розшифровку. Так само чинив і WannaCry, який, згідно з підрахунками, завдав збитків більш ніж на 1 млрд дол., Хоча і приніс творцям всього лише 120 тис. Дол.
Новини по темі
Новини по темі
Вірус працює тільки в операційній системі Windows. ІТ-експерти пояснюють, що автори підступного коду WannaCry використовували вразливість операційної системи Microsoft. Цю інформацію підтвердив і президент Microsoft Бред Сміт. Мінімальна тривалість часу між виявленням уразливого комп'ютера і повним його зараженням становить близько 3 хвилин.
Прес-служба Кабміну
MBR - це головна запис, код, необхідний для подальшого завантаження ОС і розташований в першому секторі пристрою. Після включення живлення комп'ютера відбувається так звана процедура POST, тестуються апаратне забезпечення, по проходженню якої BIOS завантажує MBR в оперативну пам'ять за адресою 0x7C00 і передає йому управління. Так вірус потрапляє в комп'ютер і вражає його. Потім комп'ютер перезавантажується, після чого система починає перевірку жорсткого диска і шифрує дані.
Новини по темі
Новини по темі
Оскільки mbr locker 256 вельми схожий на WannaCry, давайте згадаємо, що треба знати, щоб уберегтися від ураження.
Як уберегти свій комп'ютер від вірусу-здирника?
Які заходи необхідно виділити як ефективні для боротьби з цим вірусом:
1. Переконайтеся, що у вас встановлені актуальні поновлення Microsoft Windows, які прибирають вразливість MS17-010. Знайти відповідних посилань ви можете тут , А також зверніть увагу, що у зв'язку з безпрецедентною серйозністю даної уразливості 13-го травня були випущені оновлення для підтримуються ОС (windowsXP, 2003 server, 2008 server), їх ви можете скачати тут . У зв'язку з модифікацією вірусу Microsoft випускає оновлення дуже часто, треба стежити за ними.
2. Використовуючи рішення щодо забезпечення мережевої безпеки класу IPS, переконайтеся, що у вас встановлені оновлення, що включають виявлення і компенсацію мережевий уразливості. У базі знань Check Point дана уразливість описана тут , Вона входить в оновлення IPS від 14 березня 2017 року Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Також рекомендуємо налаштувати перевірку внутрішнього трафіку ключових мережевих сегментів за допомогою IPS, хоча б на короткий час, поки ймовірність зараження не знизиться.
3. У зв'язку з ймовірністю зміни коду вірусу, рекомендуємо активувати системи AntiBot & Antivirus і емуляції запуску файлів, що приходять із зовнішніх джерел поштою або мережі інтернет. Якщо ви є користувачами шлюзів безпеки Check Point, то дана система є Threat Emulation.
4. Антивірус з останніми базами - обов'язково. Навіть якщо система не була оновлена, і WannaCry потрапив на комп'ютер - і корпоративні, і домашні рішення антивіруса ESET NOD32 успішно детектируют і блокують всі його модифікації . У продуктах ESET NOD32 для Windows передбачена функція перевірки оновлень операційної системи. Якщо вона включена і всі оновлення Windows встановлені, система захищена від WannaCryptor і подібних атак.
5. Крім того, не варто відкривати сумнівні посилання і архіви. Системним адміністраторам і адміністраторам безпеки варто звернути увагу на фільтрування вхідних / вихідних інформаційних потоків, зокрема поштового і веб-трафіку. Варто обмежити можливість запуску виконуваних файлів (* .exe) на комп'ютерах користувачів з директорій% TEMP%,% APPDATA%.
6. Постійно робіть кілька резервних копій критичних даних. Копії бажано зберігати окремо. Можна користуватися і "хмарними" сервісами для інтернет-бекапа.
Якщо зловили вірус - платити чи не платити?
Якщо ви вже заразилися, не поспішайте платити зловмисникам. Навряд чи це вам допоможе. Згідно з дослідженням компанії Symantec , В WannaCry алгоритм відстеження зловмисниками індивідуальних виплат кожної жертви і відправки їй ключа для розшифровки був реалізований з помилкою стану гонки . Це робило виплату викупу безглуздими, оскільки індивідуальні ключі в будь-якому разі не будуть надіслані, а файли так і залишаться зашифрованими. Можливо, в "українському" вірус, програма побудована аналогічним чином.
Фахівці стверджують, що існує надійний метод розшифрувати призначені для користувача файли розміром менше 200 МБ, а також деякі шанси відновити файли більшого розміру. Крім того, на застарілих системах Windows XP і Windows Server 2003 через особливості реалізації в системі алгоритму обчислення псевдовипадкових чисел навіть можливо відновити закриті RSA-ключі і розшифрувати всі постраждалі файли, якщо комп'ютер не перезавантажувався з моменту зараження. Пізніше група французьких експертів з кібербезпеки з компанії Comae Technologies розширила цю можливість до Windows 7 і реалізувала її на практиці, опублікувавши у відкритому доступі утиліту WanaKiwi, що дозволяє розшифрувати файли без викупу.
Тому, якщо ви постраждали, терміново викликайте фахівця, який по можливості видалить вірус без втрати файлів.
Відомий експерт в сфері комп'ютерної безпеки Брайан Кребс рекомендує скористатися ресурсом nomoreransom.org - проектом, підтримуваним антивірусними фірмами і офіційними організаціями, наприклад, центром по боротьбі з кіберзлочинністю Європолу.
На сайті ви знайдете добірку інструментів для розшифровки файлів, зашифрованих різними вірусами, ви також можете надіслати зашифрований файл зі свого комп'ютера , Щоб фахівці оцінили можливість його розшифровки.
Також Кребс рекомендує форум сайту Bleepingcomputer.com , Де ентузіасти допомагають один одному в розшифровці файлів.
Як зробити так, щоб вірус не отримав жодного шансу залізти до вас у комп'ютер?Як уберегти свій комп'ютер від вірусу-здирника?
Якщо зловили вірус - платити чи не платити?
