Майже одночасні повідомлення про масштабні збої в багатьох країнах могли викликати паніку і відчуття незахищеності серед звичайних користувачів мережі, пише Tjournal.
Жертвами програми-шифрувальника в основному стали сервери великих організацій, у яких зловмисники мали намір вкрасти гроші. Від впливу не були застраховані звичайні користувачі, правда, захиститися від вірусу просто.
Поширення вірусу. Вірус являє собою нову версію WannaCry (WNCRY) і називається Wana Decrypt0r 2.0. Є кілька способів заразити ним комп’ютер. Шкідливе програмне забезпечення може прийти по електронній пошті або користувач ризикує випадково завантажити його сам – наприклад, завантаживши щось піратське з торрентів, відкривши вікно з підробленим оновленням і скачавши помилкові файли установки.
Але основним варіантом стають відправлені на електронну пошту листи. Жертва отримує інфекцію, клікнувши по шкідливому вкладенню. Найчастіше мова йде про файли з розширеннями js і exe, а також документи з шкідливими макросами (наприклад, файли Microsoft Word).
Що робить вірус? Проникнувши в систему, троян сканує диски, шифрує файли і додає до них всіх розширення WNCRY: так дані перестають бути доступні без ключа розшифровки. Доступ блокується як до зображень, документів і музики, так і системних файлів.
Є ризик, що після створення зашифрованих копій вірус видалить оригінали. Навіть якщо антивірус блокує додаток постфактум, файли вже зашифровані, і хоча програма недоступна, інформація про блокування розміщена на екрані робочого столу – замість шпалер.
Кожна жертва програми-здирника бачить пропозицію безкоштовно розшифрувати деякі файли і заплатити за відновлення доступу до всього іншого. Потерпілому пропонується придбати біткоіни і відправити зазначену суму на гаманець. Однак ніхто не гарантує, що після сплати викупу пристрій перестане бути паралізованим.
Оновлення. Загроза зараження WNCRY не зачепить користувачів macOS, в той час як власникам комп’ютерів на операційній системі Windows слід потурбуватися. Мова йде про Windows Vista, 7, 8, 8.1 і 10, а також Windows Server 2008/2012/2016.
У березні 2017 року Microsoft відзвітувала про закриття уразливості, через яку 12 травня були заражені комп’ютери. Швидше за все, програма у випадковому порядку поширилася тільки на тих, хто вчасно не оновився. З сайту Microsoft можна завантажити патч MS17-010, який закриє уразливість.
Після установки слід перезавантажити комп’ютер. Як запевнили в Microsoft, користувачі антивіруса Windows Defender автоматично захищені від вірусу. Для сторонніх антивірусів на кшталт Kaspersky або Symantec також варто завантажити останню версію.
У антивірусі необхідно включити компонент «Моніторинг системи». Потім потрібно перевірити систему: в разі виявлення шкідливих атак (MEM: Trojan.Win64.EquationDrug.gen) – знову перезавантажити систему і переконатися, що патч MS17-010 встановлений.
Видалення. Якщо убезпечити комп’ютер заздалегідь не вдалося, слід виконати кілька дій з видалення Wncry.
1. Варто включити безпечний режим з підтримкою мережі. У Windows 7 це можна зробити при перезавантаженні системи після натискання клавіші F8. Також є інструкції з виконання цього кроку для інших версій, в тому числі Windows 8 і Windows 10.
2. Можна самостійно видалити небажані програми через «Видалення програм». Однак щоб уникнути ризику помилки і випадкової шкоди системі, варто скористатися антивірусними програмами на кшталт SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware або STOPZilla.
Читайте також: Найбільша всесвітня кібератака: Україна опинилася в епіцентрі удару (карта)
Відновлення. Останній крок для звичайного користувача – відновлення зашифрованих файлів, яке слід виконувати тільки після видалення Wncry. В іншому випадку можна нанести шкоду системним файлам і реєстрам.
Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для жителів країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від російськомовних розробників.
Ці способи не гарантують повного відновлення файлів.