С 12 мая по всему миру наблюдается распространение вируса-вымогателя (ransomware). Жертвами программы-шифровальщика в основном стали сервера крупных организаций, но от него не застрахованы и обычные пользователи. Центр обеспечения информационной безопасности при Мининфокоме Узбекистана опубликовал рекомендации по защите от вируса.
Вирус представляет собой новую версию WannaCry (WNCRY) и называется «Wana Decrypt0r 2.0». Вредоносное программное обеспечение может прийти по электронной почте (основной вариант) или пользователь может случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Чаще всего вредоносным вложением являются файлы с расширениями js и exe, а также документы с вредоносными макросами (например, файлы Microsoft Word).
Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет ко всем из них расширение WNCRY. Таким образом, данные, находящиеся на конкретном компьютере, перестают быть доступными без ключа расшифровки. Доступ блокируется к системным файлам, документам, изображениям и музыке.
Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус постфактум блокирует приложение, файлы уже будут зашифрованы, и хотя программа будет недоступна, информация о блокировке будет размещена на экране рабочего стола — вместо обычных пользовательских обоев.
Жертве программы предлагается бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Злоумышленники предложат жертве приобрести «биткоины» и отправить указанную сумму на кошелек. Однако никто не гарантирует, что после уплаты выкупа устройство будет восстановлено.
Угроза заражения WNCRY не затронет пользователей операционных систем macOS. Если у пользователя версии Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016, рекомендуется принять меры.
В марте Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17−010, который закроет уязвимость. После установки следует перезагрузить компьютер.
Как заверяют в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов, например, Kaspersky или Symantec, также стоит загрузить последнюю версию.
Рекомендации по удалению вируса
Если обезопасить компьютер заранее не удалось, следует выполнить следующие действия. Нужно включить безопасный режим с загрузкой сетевых драйверов. В семействе Windows это можно сделать при перезагрузке системы после нажатия клавиши F8.
Нежелательные приложения можно удалить самостоятельно через «Удаление программ». Однако, чтобы избежать риска ошибки и случайного ущерба системе, лучше воспользоваться антивирусными программами.
Последний шаг для обычного пользователя: восстановление зашифрованных файлов, которое следует выполнять только после удаления WNCRY. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы, а также, например, утилиту Shadow Explorer (утилита вернет теневые копии файлов и исходное состояние зашифрованных файлов).
Однако, отмечают специалисты, эти способы также не гарантируют полного восстановления файлов.
