Украину поразил вирус-вымогатель. Тысячи компьютеров по всей стране заражены, пострадали крупные компании и частные лица, передает “112 Украина“.
Специалисты говорят, что вирус mbr locker 256 – это некий аналог известного вируса WannaCry, который стал активно распространяться по всему миру 12 мая 2017 года. Сперва он поразил сеть учреждений здравоохранения Великобритании, а затем перекинулся на организации в других странах, включая Украину.
Судя по скриншотам экранов пораженных компьютеров, вирус блокирует доступ к файлам на компьютере, шифрует их и требует выкуп в размере 300 долл. на адрес Bitcoin-кошелька за их расшифровку. Так же поступал и WannaCry, который, согласно подсчетам, нанес ущерб более чем на 1 млрд долл., хотя и принес создателям всего лишь 120 тыс. долл.
Вирус работает только в операционной системе Windows. ИТ-эксперты объясняют, что авторы коварного кода WannaCry использовали уязвимость операционной системы Microsoft. Эту информацию подтвердил и президент Microsoft Брэд Смит. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.
MBR – это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположенный в первом секторе устройства. После включения питания компьютера происходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Затем компьютер перезагружается, после чего система начинает проверку жесткого диска и шифрует данные.
Поскольку mbr locker 256 весьма похож на WannaCry, давайте вспомним, что надо знать, чтобы уберечься от поражения.
Как уберечь свой компьютер от вируса-вымогателя?
Какие меры необходимо выделить как эффективные для борьбы с данным вирусом:
- Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server), их вы можете скачать здесь. В связи с модификацией вируса Microsoft выпускает обновления очень часто, надо следить за ними.
- Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
- В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation.
- Антивирус с последними базами – обязательно. Даже если система не была обновлена, и WannaCry попал на компьютер — и корпоративные, и домашние решения антивируса ESET NOD32 успешно детектируют и блокируют все его модификации. В продуктах ESET NOD32 для Windows предусмотрена функция проверки обновлений операционной системы. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак.
- Кроме того, не стоит открывать сомнительные ссылки и архивы. Системным администраторам и администраторам безопасности стоит обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика. Стоит ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий % TEMP%,% APPDATA%.
- Постоянно делайте несколько резервных копий критичных данных. Копии желательно хранить отдельно. Можно пользоваться и “облачными” сервисами для интернет-бэкапа.
Если поймали вирус – платить или не платить?
Если вы уже заразились, не спешите платить злоумышленникам. Вряд ли это вам поможет. Согласно исследованию компании Symantec, в WannaCry алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки был реализован с ошибкой состояния гонки. Это делало выплату выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Возможно, в “украинском” вирусе, программа построена аналогичным образом.
Специалисты утверждают, что существует надежный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала ее на практике, опубликовав в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.
Поэтому, если вы пострадали, срочно вызывайте специалиста, который по возможности удалит вирус без утери файлов.
Известный эксперт в сфере компьютерной безопасности Брайан Кребс рекомендует воспользоваться ресурсом nomoreransom.org – проектом, поддерживаемым антивирусными фирмами и официальными организациями, например, центром по борьбе с киберпреступностью Европола.
На сайте вы найдете подборку инструментов для расшифровки файлов, зашифрованных различными вирусами, вы также можете прислать зашифрованный файл со своего компьютера, чтобы специалисты оценили возможность его расшифровки.
Также Кребс рекомендует форум сайта Bleepingcomputer.com, где энтузиасты помогают друг другу в расшифровке файлов.
