Как вы знаете, сейчас идет массовая атака на компьютеры по всему миру. Если вы работаете на Windows - вы находитесь в потенциальной группе риска. Но не паникуйте и не пытайтесь перезагрузить компьютер! Лучше сохраните важные данные на внешний диск или в облако, пока все работает. И идите отдыхать. Если потом обнаружится, что ваш компьютер все-таки заражен, вы просто переустановите систему и восстановите данные из бэкапа.

В этом посте я соберу советы от специалистов о том, как защититься от вируса Wana Decrypt0r. Пост будет обновляться.

Рекомендации по лечению:

Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM: Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

Атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)», - отметил представитель компании.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», - подчеркнул представитель «Лаборатории Касперского».

Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.
Это вирус-шифровальщик. Такие вирусы достаточно популярны, и хакеры прибегают к ним не впервые. Используя криптографию шифрования, вирус зашифровывает файлы на зараженном компьютере. На каждом устройстве он использует уникальный секретный ключ, который сам генерирует. Другими словами, даже расшифровав его на одном компьютере, вы будете заново расшифровывать его на другом.

Как с этим бороться?

1. Делайте резервные копии. Если у вас есть резервная копия, это вирус вам не страшен, даже если он к вам попал.
2. Всегда будьте в курсе новостей информационной безопасности. Необходимо следить за такими информационными блогами, как Security Lab, Dark Reading и другими.
3. Этот вирус использует конкретные уязвимости, которые сейчас описаны в Интернете, нужно проверить свои сети на наличие этих уязвимостей. Не открывать файл от людей, которых вы не знаете. В основном письма шифровальщиков присылаются под видом писем от бухгалтерий, либо неоплаченных штрафов от ГИБДД.

Список беспрецедентной массовой атаки хакеров впечатляет. Паралич в министерстве здравоохранения Великобритании. Пострадали телекоммуникационные компании Испании, а также компьютеры российского Следственного комитета и Министерства внутренних дел.

И это не все, ведь атакованы еще и десятки тысяч других частных и государственных компьютеров в почти ста странах. О вирусе-вымогателе Всеволод Шлыков.

Вируc-вымогатель «WannaCrypt», или «Wcry» начал распространяться вчера днем. Программа блокирует компьютер: шифрует файлы и требует оплату в криптвалюте – биткойнах, ради их расшифровки. Размер выкупа одинаковый – $300, через три дня сумма должна вырасти до $600 Жертвами стали десятки тысяч компьютеров в более, чем ста странах. Атака не была целевой, даже в госучреждениях пострадали прежде всего локальные пользователи.

«Когда мы говорим, что пострадал Минздрав, то пострадала, естественно, не база министерства, а локальные компьютеры, через которые это все попадает периодически. И на данный момент ничего так на самом деле страшного нет», – поясняет Герман Клименко, директор компании «Liveinternet».

Атаки идут исключительно по операционной системе «Windows», и те, кто до сих пор не перешел на седьмую, или высшую версию системы, оказались в наибольшей опасности, как, к примеру, министерство здравоохранения Великобритании

«Мы просили, чтобы эти учреждения перешли с «Windows XP», министр здравоохранения сам отмечал необходимость этого. Люди не всегда выполняют такие просьбы так быстро, как бы нам хотелось, но надеюсь, выводы будут сделаны. Правда, мы уже сейчас исправляем ситуацию и думаю, в скором времени положение будет под контролем», – отметил министр внутренних дел Великобритании Эмбер Радд.

Из-за того, что миллионы пользователей по всему миру вместо того, чтобы бесплатно изменить версию операционной системы на «Windows 10», до сих пор пользуются программным обеспечением шестнадцатилетней давности, «Microsoft» была вынуждена обновить операционную систему, которую не поддерживает уже несколько лет. Тем не менее, защититься от вируса может каждый.

«Самая простая мера защиты в том, чтобы переключить вашу сеть, ваше соединение с вайфаем в настройках «Windows», на публичную сеть – в публичной сети отключен протокол, через который вирус попадает на компьютер», – поясняет специалист в делах компьютерной безопасности Олег Хвалов.

Об опасности протокола smb, которым пользуется вирус, стало известно еще месяц назад из опубликованных хакерами группировки «The Shadow Brokers» данных Агентства Нацбезопасности США. В общем, для защиты от вируса достаточно иметь лицензионно версию операционной системы и обновленный антивирус на ней.

«Microsoft» закрыла опасное место в «Windows» еще в марте. Если же вы, как к примеру работники российского следственного комитета и МВД, не обращали внимания на безопасность собственного компьютера, советуем прислушаться к советам Олега Хвалова:

«Если вирус попал на компьютер, то здесь… или заплатить и получить ключ, или распрощаться с данными, если нет резервной копии».

Несмотря на то, что на данный момент рассылка вируса приостановлена, а целый ряд компаний сообщает о быстром решении проблемы, по словам специалиста, практика показывает, что дешифровка такого вируса может занять длительное время. Оценка же потерь российских правоохранительных учреждений, испанской телекоммуникации и британских учреждений здравоохранения может занять целые недели.

В 2017 году в России случился настоящий бум криптовалют. Возросший курс и его аналогов привлёк к теме внимание мошенников и хакеров, которые начали добывать виртуальные монетки нечестным способом: в интернете появились вирусы-майнеры, превращающие заражённые компьютеры в сеть майнинговых ферм. С миру по нитке - вот и получается гигантская майнинг-ферма с огромной производительностью, приносящая десятки тысяч долларов ежемесячно.

Схема обмана проста и надёжна: хакеры запускают в интернет вирусы, которые распространяются через почтовые вложения или сайты-источники скачиваемого контента. Виртуальные «чёрные шахтёры» завладевают мощностями заражённого компьютера: хакерам сыплются виртуальные монеты, а жертве - счета за электричество.

К счастью, вирусы-майнеры не портят файлы на компьютере и не крадут данные. Их задача - использовать вычислительную мощь системы для своих нужд. Но всё равно это плохо, особенно если заражена сеть целого предприятия.

Как можно подхватить вирус-майнер

1. Через запуск файла

Подхватить вирус можно, открыв вложение в непонятном письме от незнакомого отправителя. Неважно, выглядит ли он как изображение, документ, таблица или архив. Если вам пришло письмо с заголовком вроде «Зарплаты сотрудников компании», не стоит считать, будто в ваши руки попала любопытная секретная информация. Именно завлекающие (кликбейтные) заголовки помогают вирусам проникать в компьютеры наивных пользователей.

Пытаетесь скачать взломанную версию платной программы? С большой вероятностью хакеры прикрутили к ней вирус-майнер.

2. Через посещение сайта

Благодаря развитию веб-технологий стать жертвой майнера можно и без заражения. Например, инструмент CoinHive, представляющий собой скрипт Java, делает майнером любое устройство, на котором открыли сайт с интегрированным скриптом CoinHive. Причем может не только компьютер, но также смартфон и любые другие мобильные ARM-устройства с доступом в интернет.

Чаще всего CoinHive устанавливают на сайты, где пользователь проводит много времени, например на пиратские онлайн-кинотеатры.

3. Через уязвимости в системе

К сожалению, даже осторожные пользователи могут подхватить вирус, который проникает через уязвимости в операционной системе. Всё происходит абсолютно незаметно.

Например, известнейший бэкдор DoublePulsar, из-за которого миллионы компьютеров по всему миру были заражены вирусом WannaCry, дал жизнь целому семейству вирусов-майнеров, проникавших в Windows тем же путём.

Разработчики операционных систем (в первую очередь речь о Microsoft и её Windows) планомерно выпускают заплатки при обнаружении подобных уязвимостей. Поэтому в группу риска попадают пользователи, которые принципиально не устанавливают обновления на свой компьютер или делают это с опозданием.

4. Через расширение для браузера

Полгода назад интернет потрясла история с расширением Archive Poster для браузера Chrome, созданного для удобной работы с сервисом Tumblr. Как заметили пользователи ставшего популярным (более 100 тысяч загрузок) расширения, в Archive Poster разработчики тайно встроили майнер и тем самым зарабатывали на своей аудитории.

Причем Google не торопились убирать вредное расширение из своего онлайн-магазина. Так что перед установкой нового браузерного расширения как минимум почитайте отзывы - вдруг за бесплатное расширение придётся заплатить мощностью своего компьютера.

Признаки работы вируса-майнера

Высокая загрузка компьютера

Современные компьютеры очень хорошо управляют электропитанием и не допускают использования всей вычислительной мощности понапрасну. Особенно это касается ноутбуков: во время просмотра сайтов, видео или в простое их вентиляторы работают чуть слышно.

Помните, как шумит система охлаждения под серьёзной нагрузкой вроде игр? Если компьютер начал перманентно гудеть и греться, система страшно и подвисает, значит, её ресурсы кто-то поглощает. И скорее всего, это вирус-майнер.

Загрузка в периоды неактивности

Профилактика и лечение

Далеко не все антивирусы успешно борются с майнерами. Дело в том, что сам по себе майнинг - это не процесс повреждения или шифрования файлов (как в случае с вирусами-вымогателями, например). Если конкретного майнера нет в базе антивируса, то вирус будет опознан как «прожорливое», но совершенно безопасное приложение.

Если вы не хотите стать пассивным добытчиком чужих криптовалют, следуйте простым рекомендациям.

1. Думайте, что скачиваете

Как бы ни был велик соблазн скачать пиратское приложение, музыку, фильмы, только легальные ресурсы могут гарантировать безопасность. Вместе с сомнительным файлом на компьютер или смартфон наверняка попадёт какой-нибудь троян.

Расширение загружаемого файла должно соответствовать типу контенту, который вы хотите скачать. Книга, музыка или фильм не могут иметь расширение.EXE или.DMG.

Если после загрузки файла появились подозрения, лучше не рисковать, а проверить его антивирусом. Есть много бесплатных онлайн-сканеров, например:

Для гарантии лучше попробовать сразу 2–3 ресурса.

2. Не открывайте вложения из странных писем

Если вам пришло письмо от неизвестного адресата с непонятным вложением, удаляйте это письмо, не раздумывая. Большую часть вложений в фишинговых письмах представляют собой файлы типов.RTF, .XLS и.ZIP, то есть текст, таблицы и архивы соответственно. Исполняемые файлы.EXE встречаются редко, так как их отправку блокируют многие почтовые сервисы и комплексные системы ИТ-защиты.

Даже безобидный документ Word или видеоролик могут привести к заражению компьютера майнером.

Конкретных названий вредоносных файлов не существует. Они постоянно меняются, но всегда сохраняют привлекательные названия вроде «мои_фото.zip», «тендеры_2018.xls», «зарплаты.doc» и тому подобные.

3. Используйте надёжный антивирус

Известные научились неплохо вылавливать майнеры. Причём, даже если в базу антивируса не успели добавить новую модификацию вируса-майнера, его работа может быть заблокирована благодаря эвристическому анализу. В описании ряда антивирусов прямым текстом сказано о защите от вирусов-майнеров. Однако не забывайте, что без ежедневного обновления баз антивирус становится бесполезным. Пользуетесь взломанной копией антивируса, который не может обновляться? Считайте, что компьютер остался без защиты.

4. Обновляйте систему

Регулярно обновляйте операционную систему, антивирус, браузер и офисные приложения. В первую очередь обновления выпускают, чтобы исправить в приложениях ошибки и закрыть дыры в безопасности.

Для антивирусов это особенно актуально: помимо баз, обновляются фильтры фишинговых сайтов, файрволы и другие важные компоненты, защищающие компьютер.

Не забывайте, что обновлять приложения можно только через их собственный интерфейс. Если какой-то сайт внезапно предлагает вам скачать обновление для антивируса, операционной системы или браузера, то там вас гарантированно ждёт вирус или троян. Также не стоит устанавливать обновления, полученные по почте.

Доверившись такому предложению, вместо обновления для браузера вы наверняка получите зловредную программу

5. Используйте расширения-блокировщики в браузерах

Расширения браузера, такие как No Coin или minerBlock для Chrome и Firefox, MinerBlock для Chrome, будут блокировать уже известные вирусы-майнеры, работающие прямо в браузере. Пожалуй, это самый просто способ защиты от майнеров. Главное - не запрещать расширениям обновлять свои базы, чтобы они сохраняли свою актуальность.

6. Есть сомнения? Запускайте «Диспетчер задач»

Если вы заметили, что ваш компьютер начал тормозить, а вентиляторы ноутбука не умолкают, можно быстро проверить активные процессы. В Windows запустите «Диспетчер задач» сочетанием клавиш Ctrl + Shift + Esc, а на macOS через поиск найдите утилиту «Мониторинг системы».

Отсортируйте процессы по загрузке ЦП и посмотрите, который из них «съедает» больше всего ресурсов. Если некий процесс загружает ЦП на 80–90%, то поищите его имя в поисковых системах - вдруг это известный майнер. Заодно проверьте систему антивирусом.

Компьютерные вирусы, программы-шпионы и другие виды угрозы могут получить доступ к вашему компьютеру несколькими способами, такими как: запуск зараженного файла, пришедшего по электронной почте, случайно нажатие на небезопасную ссылку в интернете или скачивате одно а оказывается, что это совершенно не то что вы хотели, что это вирус замаскированный под приложение, фильм и т.д. Есть несколько простых шагов, которые нужно предпринять, чтобы ваш компьютер и ваши личные данные находились в безопасности.

Обновляйте Windows

Microsoft обычно выпускает новые обновления для Windows каждый второй вторник ежемесячно. Регулярные, связанные с безопасностью обновления Windows, блокируют вновь найденные способы, заражения Вашего компьютера или утечке личных данных. Итак, первый шаг к безопасности вашего компьютера это проверка, что ваш Windows регулярно обновляется, чтобы это проверить откройте. Чтобы проверить откройте: » Пуск — Панель управления — Центр обновления Windows».

Обновляйте все программное обеспечение установленное на Вашем компьютере

Не только Windows должен быть обновлен, но также все программы, которые используются при работе в интернете, такие как Flash или Java. Обновления для этих программ необходимы для использовать всех новейшие возможностей и технологий при просмотре ваших любимых веб-сайтов. Но к сожалению, эти же программы могут быть использованы злоумышленниками для заражения вашего компьютера (используюя обнаруженные ошибки в них), поэтому убедитесь, что все приложения обновляются и их версии актуальны.

Некоторые вирусы могут пытаться обмануть вас маскируясь под обновление одной из ваших программ. Если вы подозреваете, что это как раз тот самый случай, перепроверьте скачанный файл антивирусными средствами, либо попробуйте найти дополнительную информацию об этом файле в в интернете.

Установите антивирус и поддерживайте его базы в актуальном состоянии

Антивирусное программное обеспечение предназначено для устранения вредоносного ПО, а также как средство препятствующее его проникновению на ваш компьютер. Вы можете выбрать бесплатный антивирус и скачать из массы качественных бесплатных антивирусов таких как: AVG, Avira, Avast и др.все они обеспечивают надежную антивирусную защиту. Также есть антивирусы с функциями файервола (брандмауэра), например Comodo, который обеспечивает дополнительную защиту от сетевых атак и злоумышленников пытающихся получить доступ к вашей личной информации.

Будьте бдительны в Интернете

Еще одно правило для защиты компьютера от вирусов и других атак — будьте осторожны при работе в интернете. Даже с последней версией своего браузера, полностью обновленным Windows, вы можете случайно загрузить опасные файлы или даже случайно запустить их, минуя все системы безопасности вашего компьютера.

Существует верный способ узнать, что вы находитесь на небезопасном сайте или перешли по небезопасной ссылке: этому помогают дополнительные функции антивирусов, которые добавляют дополнительную информацию в браузер для ссылок на странице, если в базе данных антивируса этот сайт считается небезопасным, то вас предупредят об опасности перехода по ссылке.

Подсказка: если вы используете ваш компьютер для онлайн-платежей или других конфиденциальных операций, есть простой дополнительный способ повысить вашу безопасность, такой как использование двух различных браузеров. Используйте один браузер исключительно только для для ваших конфиденциальных операций, а другой-для серфинга в интернете, посещению сайтов социальных сетей и так далее.

Загружайте файлы только из проверенных источников

Любой файл, который загружается без вашего разрешения, является потенциально опасным. То же справедливо и для файлов, скачанных из непроверенных источников или полученных по электронной почте.

Скачивайте файлы только из проверенных источников, особенно остерегайтесь ссылок на форумах, досках объявления и т.п.

Будьте осторожны на сайтах социальных сетей

Facebook, Twitter, Одноклассники, ВКонтакте и другие социальные сети все чаще используются злоумышленниками. Основным риском является то обстоятельство, что опасные сообщения приходят от друзей. Если вы видите сообщение от друга, но оно выглядит подозрительным, свяжитесь со своим другом и убедитесь, что это именно его ссылка, текст или видео. Не, нажимайте на ссылки, пока вы не убедитесь, что это безопасно.

Большинство респираторно-вирусных инфекций воздушно- и контактным путем. Постарайтесь ограничить пребывание в местах скопления людей – если позволяют погода и расстояние до пункта назначения, не пользуйтесь общественным транспортом, на время откажитесь от посещения культурно-массовых мероприятий, ходите за продуктами не в переполненный , а в маленький магазин рядом с домом.

Если же такой возможности нет, не касайтесь поручней в транспорте голыми руками, как можно чаще мойте руки и носите с собой дезинфицирующие салфетки или , чтобы обрабатывать ими руки после прикосновения к деньгам, дверным ручкам, кранам в общественных туалетах на работе. Не трогайте лицо немытыми руками и не общайтесь без крайней необходимости с кашляющими и чихающими коллегами. После возвращения с улицы промывайте нос солевыми растворами, чтобы смыть со слизистой оболочки верхних дыхательных путей возбудителей заболеваний.

Одноразовые маски и марлевые повязки не помогут уберечься от инфекции – носить их имеет смысл только в том случае, если вы сами больны и хотите защитить от инфекции окружающих. Менять маски следует каждые четыре часа – одноразовые следует немедленно выбрасывать, марлевые повязки нужно и проглаживать горячим утюгом с двух сторон.

Чтобы избежать переохлаждения, одевайтесь по погоде. Низкая температура в помещении не так опасна, как сквозняки и резкие перепады температур. Обязательно проветривайте помещение, в котором находитесь, в течение дня, по возможности чаще делайте влажную уборку. Если есть возможность, до начала периода эпидемий сделайте .

Укреплению иммунитета способствуют физическая активность, полноценное питание, богатое витаминами. Прием поливитаминов и иммуностимулирующих препаратов не даст эффекта, если вы мало двигаетесь, большую часть времени проводите в душном помещении, где, кроме вас, находится еще несколько человек, питаетесь полуфабрикатами и не вводите в меню свежие фрукты, овощи, молочнокислые продукты, мало спите.

Как уберечься от кишечных инфекций?

Основные кишечных инфекций – фекально-оральный и контактный. Не пейте некипяченую воду, как можно чаще мойте руки, фрукты и овощи мойте горячей водой. Не стоит приобретать продукты на уличных лотках.

При уборке квартиры регулярно, но не постоянно используйте дезинфицирующие средства, особенно, если кто-то в семье уже заразился. Особе внимание стоит уделять предметам, которых часто касаются руками – дверным и оконным ручкам, кранам и на кухне, выключателям. Держите крышку закрытой и постарайтесь, чтобы зубные щетки и полотенца находились как можно дальше от него, если у вас совмещенный санузел – при сливе воды мельчайшие брызги попадают в воздух, оседая на окружающих предметах.