Внимание WannaCry! Как да се предпазим?

Както знаете,  още в петък започна масово заразяване с вируса „WannaCry“. Основно са уязвими компютри с Windows, които не са актуализирани. Microsoft направи безпрецедентна крачка, като пусна екстренa актуализация за всички стари операционни системи като:

  • Windows XP (32 и 64 Bit версии)
  • Windows Server 2003 (32 и 64 Bit версии)
  • Windows Vista  (32 и 64 Bit версии)

Трябва да ви напомним, че още през месец март  беше пусната актуализация която възпрепятства „WannaCry“. Ако правите редовно актуализация на вашите операционни системи няма от какво да се притеснявате.

Кои са уязвими?

Особено са уязвими следните системи:

  1. Всички с Windows XP всички версии;
  2. С Windows Vista всички версии;
  3. Windows Server 2003 всички версии;
  4. Всички Windows системи които не са актуализирани;
  5. Всички Windows системи които не са актуализирани и директно са свързани към Интернет и техният трафик не преминава през рутер. (Средно време за заразяване на такива машини е около 3 минути.

Как се заразяват машините?

Използва се MS17-010 уязвимост в SMBv1 протокола като се извършва отдалечена инсталация на вредоносен код.

Пример за отдалечено заразяване:

 cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v „abzyckxcqecwnu394“ /t reg_sz /d „\“c:\intel\abzyckxcqecwnu394\tasksche.exe\““ 

Тази конструкция добавя „tasksche.exe“ за автоматично стартиране.

След заразяване на системата на екрана излиза следния информационен екран:

WannaCry

Този информационен екран поддържа и български език

а това е опис на поддържаните езици:

 m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese 

Кои файлове заразява вируса?

 .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der 

Със сигурност вече е известно, че поразява и образи на всички виртуални машини.

Криптиране:

След заразяването на компютъра файловете с разширения които са описани  по-горе се криптират с 2048 битов RSA ключ. Към дадения момент, не съществуват инструменти за дешифрирането на криптираните файлове.

Какво трябва да направите веднага?

Да актуализирате вашата операционна система ако е Windows 7, Windows 8, Windows 8.1, Windows 10.

За стари версии на операционните системи Windows XP и Windows Vista:

  1. Проверете вашата версия на операционната система, Каква редакция е 32 битова или 64 битова.
  2. My Computer -> Properties
  3. След това посетете следния линк на сайта на Microsoft, изтеглете и приложете версията за вашата операционна система.
  4. Правете редовно архиви на важната за вас информация.

Не се бавете, актуализирайте вашите операционни системи. До момента са заразени близо 200 000 компютри по целия свят. Бъдете бдителни при отваряне на прикачени файлове, zip архиви, документи, не отваряйте писма от непознати податели.

Използвайте само легални софтуерни продукти, антивирусни решения от реномиран производители.

Ако се съмнявате или не разбирате написаното до тук, моля обърнете се към специализирани фирми за подобни услуги.

Искаме да напомним, че Ей Ес Ес ООД е официален дистрибутор на F-Secure No1 в света по номинация на VirusBulletin https://www.virusbulletin.com/.

Всички продукти на F-Secure могат да бъдат закупени от Ей Ес Ес ООД.

Добавено на 24.05.2017

В Интернет е засечена модифицирана версия на вируса, в която са подменени bitkoin портфейли. Това означава, че измамниците нямат никакво намерение и не могат да декриптират вашите данни.