Как да се предпазите от вирус, който е заразил компютрите по целия свят
Първите действия на обикновен потребител.
Почти еднократни съобщения за масови прекъсвания в много страни биха могли да предизвикат паника и чувство на несигурност сред обикновените потребители на мрежата.
Жертвите на програмата за криптиране са били предимно сървъри на големи организации, от които нападателите са възнамерявали да откраднат пари. Обикновените потребители не бяха имунизирани от въздействието, но е лесно да се предпазите от вируса.
Разпространение на вируса
Вирусът е нова версия на WannaCry (WNCRY) и се нарича Wana Decrypt0r 2.0. Има няколко начина за заразяване на компютър с него. Злонамереният софтуер може да дойде по имейл или потребителят може случайно да го изтегли сам, например като изтегли нещо пиратско от торенти, отвори прозорец с фалшива актуализация и изтегли фалшиви инсталационни файлове.
Но основната опция е изпратените имейли. Жертвата получава инфекцията, като щракне върху злонамерения прикачен файл. Най-често става дума за файлове с разширения js и exe, както и документи със злонамерени макроси (например файлове на Microsoft Word).
Какво прави вирусът
Проникнал в системата, троянският кон сканира дисковете, криптира файловете и добавя разширението WNCRY към всички тях: по този начин данните вече не са достъпни без ключа за дешифриране. Достъпът е блокиран както до изображения, документи и музика, така и до системни файлове.
Съществува риск след създаване на криптирани копия вирусът да изтрие оригиналите. Дори антивирусната програма да блокира приложението след факта, файловете вече са криптирани и въпреки че програмата не е налична, информацията за блокиране се поставя на екрана на работния плот - вместо тапет.
Всяка жертва на ransomware виждаоферта за безплатно декриптиране на някои файлове и плащане за възстановяване на достъпа до всичко останало. Жертвата е поканена да закупи биткойни и да изпрати определената сума в портфейла. Никой обаче не гарантира, че след плащането на откупа устройството вече няма да бъде парализирано.
Актуализация
Заплахата от инфекция с WNCRY няма да засегне потребителите на macOS, докато собствениците на компютри, работещи с операционна система Windows, трябва да се притесняват. Става дума за Windows Vista, 7, 8, 8.1 и 10, както и за Windows Server 2008/2012/2016.
След инсталирането трябва да рестартирате компютъра си. Както уверява Microsoft, потребителите на Windows Defender Antivirus са автоматично защитени от вируса. За антивируси на трети страни като Kaspersky или Symantec също си струва да изтеглите най-новата версия.
В антивирусната програма трябва да активирате компонента "Системен монитор". След това трябва да проверите системата: ако бъдат открити злонамерени атаки (MEM:Trojan.Win64.EquationDrug.gen), рестартирайте отново системата и се уверете, че е инсталирана корекцията MS17-010.
Ако не е било възможно да защитите компютъра си предварително, трябва да изпълните няколко стъпки, за да премахнете Wncry.
1. Струва си да активирате безопасен режим със зареждане на мрежови драйвери. В Windows 7 това може да стане, когато системата се рестартира след натискане на клавиша F8. Има също инструкции за изпълнение на тази стъпка за други версии, включително Windows 8 и Windows 10.
2. Можете сами да премахнете нежеланите приложения чрез „Премахване на програми“. Въпреки това, за да избегнете риска от грешка и случайно увреждане на системата, струва си да използвате антивирусни програми като SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
Възстановяване
Последната стъпка за редовен потребител е възстановяванетокриптирани файлове, които трябва да се извършват само след деинсталиране на Wncry. В противен случай можете да повредите системни файлове и регистри.
За да възстановите файлове, можете да използвате декриптори, както и помощната програма Shadow Explorer (тя ще върне скритите копия на файловете и оригиналното състояние на криптираните файлове) или Stellar Phoenix Windows Data Recovery. За жителите на страните от бившия СССР има безплатно (за некомерсиална употреба) решение R.saver от българоговорящи разработчици.
Тези методи не гарантират пълно възстановяване на файлове.