Eemaldage WannaCry viirus (Eemaldamise juhend) - Aug 2017 uuendus

Mis on WannaCry lunavaraviirus?

Massiivne küberrünnak: WannaCry lunavara nakatas üle 230 000 arvuti üle maailma

WannaCry viirus on lunavaratüüpi program, mis kasutab EternalBlue vara, nakatamaks Microsoft Windows operatsioonisüsteemiga arvuteid. Seda lunavara tuntakse ka nimede WannaCrypt0r, WannaCryptor, WCry ja Wana Decrypt0r all. Kord, kui see satub sihtmärgiks olevasse arvutisse, hakkab see kiirelt krüpteerima faile ja märgib neid ühe järgneva laiendusega: .wcry, .wncryt and .wncry.

Viirus muudab failid kasututeks, kasutades tugevat algoritmi. Lisaks muudab see töölaua taustapildi, loob lunarahateate “Please Read Me!.txt” ja avab seejärel programmi nimega “Wanna Decrypt0r”, kus on kirjas, et arvutis olevad failid on krüpteeritud. Pahavaraline programm meelitab ohvrit tasuma lunaraha Bitcoinides, summa varieerub seejuures $300-st kuni $600-ni ning lubab vastasel korral failid kustutada, kui ohver ei maksa nõutud summat 7 päeva jooksul.

Pahavaraline programm eemaldab arvutist varikoopiad, vältimaks võimalust, et ohver saab faile ise taastada. Kõigele lisaks käitub see lunavara nagu uss, kuna nii pea, kui viirus on sattunud arvutisse, hakkab see otsima teisi arvuteid, mida nakatada. Pahavara kasutab Windows OS turvaauku ning see levib väga kiirelt failijagamisprogrammide kaudu (nagu Dropbox või muu taoline), küsimata ohvrilt luba selleks.

Kui sa oled sattunud küberrünnaku ohvriks, pead sa WannaCry eemaldama nii kiiresti kui võimalik, vältimaks selle levimist. Kuigi viirus lubab taastada failid pärast lunaraha maksmist, pole mitte mingit põhjust usaldada kriminaalide ütluseid. viirused.ee tiim soovitab lunavara eemaldada Safe Mode with Networking režiimis, kasutades pahavaratõrjet nagu näiteks FortectIntego.

Küberkurjategijad kasutasid seda lunavara massiivses küberrünnakus, mida alustati reedel, 12. mail 2017. Hiljutiste uudiste kohaselt on pahavara edukalt nakatanud enam kui 230 000 arvutit enam kui 150 riigis. Küberrünnaku tulemus on õõvastav – kuigi viirus on sihikule võtnud organisatsioone erinevatest valdkondadest, näib kõige rohkem kannatavat tervishoiusüsteem.

Rünnaku tõttu on mitmed haiglad pidanud oma tegevuse peatama, näiteks on sadu operatsioone tulnud edasi lükata. Teadaannete kohaselt on nakatunud ka suured ettevõtted nagu Telefonica, Gas Natural ja Iberdrola. Mõndadel nakatunud ettevõtetel on küll olnud koopiad, mõned on aga pidanud silmitsi seisma kahjustatud ja kaotatud failidega. Igasuguste eranditeta on soovitatud WannaCry võimalikult kiiresti eemaldada, kuna nii saab vältida lunavara levimist kaugemale.

Uurija näitab ekraanitõmmist, mis on tehtud WannaCry rünnaku käigus. Tõmmiselt saab näha nii Wanna Decrypt0r akent kui ka pilti, mille WannaCry seab töölaua taustapildiks pärast süsteemi nakatamist ja failide krüpteerimist.

WannaCry levib EternalBlue abil

WannaCry lunavara levimise võtmesõnaks on EternalBlue vara, mis on Ameerika turvaorganisatsiooni NSA küberluuretööriist ning see avalikustati internetis Shadow Brokers häkkerigrupi poolt. EternalBlue võtab sihikule Windows CVE-2017-0145 turvaaugu Microsofti SMB protokollis. See turvaauk on aga juba korda aetud, vastaval Microsofti poolt avalikustatud turvateatele MS17-010 (avaldatud 14. mail 2017).

Ründajate kasutatav ründekood pidi nakatama vananenud Windows 7 ja Windows Server 2008 süsteeme ning teadaannete kohaselt ei saa Windows 10 kasutajad sellega nakatuda. Pahavara satub arvutisse teatud Trooja abil, mis sisaldab ründevara ja lunavara. Seejärel üritab see ühendada end ühe kaugjuhitava serveriga, et laadida lunavara arvutisse. Viimane WannaCry versioon levib girlfriendbeautiful[.]ga/hotgirljapan.jpg?i=1 APAC regioonis. Lunavara võib nakatada kõiki, kellel ei ole teadmisi selle kohta, kuidas lunavara levib, seega soovitame lugeda seda Wanna Cry lunavara ennetamise juhendit, mille on loonud meie eksperdid:

1. Installeeri MS17-010 süsteemi turvauuendus, mille Microsoft hiljuti avaldas. See on mõeldud just selle turvaaugu jaoks, mida lunavara kasutab. Uuendused loodi erandina isegi vanadele operatsioonisüsteemidele nagu Windows XP või Windows 2003.
2. Hoia arvutis olevaid programme uuendatuna.
3. Laadi usaldusväärne pahavaratõrje, mis suudab kaitsta su arvutit illegaalsete sissetungide eest.
4. Ära ava kunagi kirju, mis on saadetud võõrastelt või ettevõtetelt, millega sul ei ole mitte mingit pistmist.
5. Keela SMBv1, kasutades Microsofti loodud juhiseid.

WannaCry versioonid

.wcry faililaienduse viirus. Seda peetakse kurikuulsa lunavara esimeseks versiooniks. Seda märgati esimest korda 2017. aasta veebruaris ning esialgu tundus, et see ei suuda ületada kõige ohtlikumaid viiruseid nagu Cryptolocker, CryptXXX või Cerber.

Viirus kasutab AES-128 kirjeid selleks, et failid kindlalt lukustada, lisab kõikidele failidele laienduse .wcry ning palub kanda 0.1 Bitcoini teatud virtuaalsesse rahakotti. Pahavara levitati esialgu rämpskirjade kaudu, ent selline levimisviis ei toonud häkkeritele palju kasumit. Kuigi näib, et selle lunavara poolt lukustatud faile ei saa taastada dekrüpteerimisvõtmeta, otsustasid siiski viiruse arendajad pahavara uuendada.

WannaCrypt0r lunavaraviirus. See on uuendatud lunavara nimi. Uus versioon otsustas kasutada Windowsi nõrgemaid külgi oma peamise ründemehhanismina ning sarnaselt eelnevalegi krüpteerib see süsteemis olevad failid mõne sekundi jooksul. Nakatunud faile saab eristada teistest uue faililaienduse järgi, mis on lisatud kõikidele failidele – .wncry, wncryt või .wcry. Kahjuks pole mitte mingit võimalust nakatunud faile taastada, kui ei ole koopiaid või privaatset võtit, mis loodi andmete krüpteerimise käigus. Viirus nõuab tavaliselt $300, kuid see summa kasvab $600-ni, kui ohver ei maksa kolme päeva jooksul.

WannaDecrypt0r lunavaraviirus. WannaDecrypt0r on programm, mille viirus avab pärast edukat süsteemi nakatamist. Uurijad on juba märganud muuhulgas ka Wanna Decryptor 1.0 ja Wanna Decryptor 2.0 versioone. Pahavaraline tarkvara esitleb ka taimerit, mis näitab, kui palju on veel aega lunaraha tasumiseks, enne kui selle hind mitmekordistub ning sellele lisaks on teine identne kell, mis näitab seda, kui kaua on aega raha tasumiseks enne, kui viirus kustutab kõik andmed arvutist. See konkreetne versioon rabas virtuaalühiskonda 12. mail 2017, kuid mõni päev hiljem peatati see turvaekspertide gruppi MalwareTech poolt.

Kuidas WannaCry eemaldada ja taastada krüpteeritud failid?

WannaCry viiruse eemaldamiseks peaks tuginema üksnes professionaalsetel tööriistadel ning ei tohiks sellega rinda pista käsitsi. Viirus on äärmiselt ohtlik ning kasutab keerukaid meetodeid selleks, et kogu arvutisüsteemi levida ja seejuures nakatada ka ühendatud arvuteid ja muid seadmeid. Mida varem viirus keelata ja eemaldada, seda parem, seega ära raiska rohkem aega.

Kui sul on andmetest tehtud koopiad, ära kiirusta nende arvutisse tõstmisega, kui viirus on veel arvutis, kuna sel juhul krüpteeritakse ka koopiad. Parimate tulemuste jaks on Viirused.ee tiim loonud järgnevad WannaCry eemaldamise juhised.