WannaCry : comment se protéger du virus ransomware. Les chiffreurs ont gonflé les budgets d'IB Le mauvais virus WannaCry qui chiffre tout

Le nouveau malware ransomware WannaCry (qui porte également plusieurs autres noms - WannaCry Decryptor, WannaCrypt, WCry et WanaCrypt0r 2.0) s'est fait connaître dans le monde entier le 12 mai 2017, lorsque les fichiers des ordinateurs de plusieurs établissements de santé au Royaume-Uni ont été cryptés. . Comme il est vite devenu évident que des entreprises de dizaines de pays se sont retrouvées dans une situation similaire, la Russie, l’Ukraine, l’Inde et Taiwan étant les plus touchées. Selon Kaspersky Lab, dès le premier jour de l’attaque, le virus a été détecté dans 74 pays.

Pourquoi WannaCry est-il dangereux ? Le virus crypte les fichiers divers types(en recevant l'extension .WCRY, les fichiers deviennent complètement illisibles) et demande ensuite une rançon de 600 $ pour le décryptage. Pour accélérer la procédure de transfert d'argent, l'utilisateur est intimidé par le fait que dans trois jours le montant de la rançon augmentera, et après sept jours, les fichiers ne seront plus déchiffrables.

Les ordinateurs exécutant les systèmes d'exploitation Windows risquent d'être infectés par le virus ransomware WannaCry. Si vous utilisez versions sous licence Windows et mettez régulièrement à jour votre système, vous n’avez pas à craindre qu’un virus pénètre dans votre système de cette façon.

Les utilisateurs de MacOS, ChromeOS et Linux, ainsi que des systèmes d'exploitation mobiles iOS et Android, ne devraient pas du tout avoir peur des attaques WannaCry.

Que faire si vous êtes victime de WannaCry ?

La National Crime Agency (NCA) du Royaume-Uni recommande aux petites entreprises victimes de ransomware et préoccupées par la propagation du virus en ligne de prendre les mesures suivantes :

  • Isolez immédiatement votre ordinateur, ordinateur portable ou tablette de votre réseau d'entreprise/interne. Désactivez le Wi-Fi.
  • Changez de pilote.
  • Sans se connecter à Réseaux Wi-Fi, connectez directement votre ordinateur à Internet.
  • Mise à jour système opérateur et tous les autres logiciels.
  • Mettez à jour et exécutez votre logiciel antivirus.
  • Reconnectez-vous au réseau.
  • Moniteur trafic réseau et/ou exécutez une analyse antivirus pour vous assurer que le ransomware a disparu.

Important!

Les fichiers cryptés par le virus WannaCry ne peuvent être déchiffrés par personne, à l'exception des attaquants. Par conséquent, ne perdez pas de temps et d’argent avec ces « génies informatiques » qui promettent de vous épargner ce casse-tête.

Vaut-il la peine de payer de l’argent aux attaquants ?

Les premières questions posées par les utilisateurs confrontés au nouveau virus ransomware WannaCry sont : comment récupérer des fichiers et comment supprimer un virus. Ne pas trouver gratuitement et moyens efficaces décisions, ils sont confrontés à un choix : verser ou non de l’argent à l’extorsionniste ? Étant donné que les utilisateurs ont souvent quelque chose à perdre (les documents personnels et les archives photo sont stockés sur l'ordinateur), le désir de résoudre le problème de l'argent se pose réellement.

Mais la NCA exhorte vivement Pasverser de l'argent. Si vous décidez de le faire, gardez les points suivants à l’esprit :

  • Premièrement, rien ne garantit que vous aurez accès à vos données.
  • Deuxièmement, votre ordinateur peut toujours être infecté par un virus même après le paiement.
  • Troisièmement, vous donnerez probablement simplement votre argent aux cybercriminels.

Comment se protéger de WannaCry ?

Vyacheslav Belashov, chef du département de mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur, explique les mesures à prendre pour prévenir l'infection par le virus :

La particularité du virus WannaCry est qu’il peut pénétrer dans un système sans intervention humaine, contrairement aux autres virus de chiffrement. Auparavant, pour que le virus agisse, il fallait que l'utilisateur soit inattentif - qu'il suive un lien douteux provenant d'un e-mail qui ne lui était pas réellement destiné ou qu'il télécharge une pièce jointe malveillante. Dans le cas de WannaCry, une vulnérabilité qui existe directement dans le système d'exploitation lui-même est exploitée. Par conséquent, les ordinateurs sur Basé sur Windows, sur lequel les mises à jour du 14 mars 2017 n'ont pas été installées. Un poste de travail infecté du réseau local afin que le virus se propage à d’autres personnes présentant des vulnérabilités existantes.

Parmi les utilisateurs touchés par le virus, une chose est naturelle : question principale— comment décrypter vos informations ? Malheureusement, il n’existe pas encore de solution garantie et il est peu probable qu’elle soit prévisible. Même après avoir payé le montant spécifié, le problème n'est pas résolu. De plus, la situation peut être aggravée par le fait qu'une personne, dans l'espoir de récupérer ses données, risque d'utiliser des décrypteurs soi-disant « gratuits », qui sont en réalité aussi des fichiers malveillants. Par conséquent, le principal conseil que l’on peut donner est d’être prudent et de faire tout son possible pour éviter une telle situation.

Que peut-on et doit-on faire exactement à l’heure actuelle :

1. Installez les dernières mises à jour.

Cela s'applique non seulement aux systèmes d'exploitation, mais également aux outils de protection antivirus. Des informations sur la mise à jour de Windows peuvent être trouvées ici.

2. Faites des copies de sauvegarde des informations importantes.

3. Soyez prudent lorsque vous travaillez avec le courrier et Internet.

Vous devez faire attention aux e-mails entrants contenant des liens et des pièces jointes douteux. Pour travailler avec Internet, il est recommandé d'utiliser des plugins qui vous permettent de vous débarrasser des publicités inutiles et des liens vers des sources potentiellement malveillantes.

  • Plus de 200 000 ordinateurs ont déjà été infectés !
Les principales cibles de l'attaque étaient le secteur des entreprises, suivi par les entreprises de télécommunications en Espagne, au Portugal, en Chine et en Angleterre.
  • Le coup le plus dur a été porté aux utilisateurs et aux entreprises russes. Y compris Megafon, les chemins de fer russes et, selon des informations non confirmées, la commission d'enquête et le ministère de l'Intérieur. La Sberbank et le ministère de la Santé ont également signalé des attaques contre leurs systèmes.
Pour le décryptage des données, les attaquants exigent une rançon de 300 à 600 dollars en bitcoins (environ 17 000 à 34 000 roubles).

Comment installer officiel Image ISO Windows 10 sans utiliser l'outil de création de média

Carte interactive des infections (CLIQUEZ SUR LA CARTE)
Fenêtre de rançon
Chiffre les fichiers avec les extensions suivantes

Malgré le virus ciblant le secteur des entreprises, utilisateur régulier Il n’est pas non plus à l’abri de la pénétration de WannaCry et d’une éventuelle perte d’accès aux fichiers.
  • Instructions pour protéger votre ordinateur et ses données contre les infections :
1. Installez l'application Kaspersky System Watcher, qui est équipée d'une fonction intégrée permettant d'annuler les modifications provoquées par les actions d'un chiffreur qui a réussi à contourner les mesures de sécurité.
2. Il est recommandé aux utilisateurs du logiciel antivirus de Kaspersky Lab de vérifier que la fonction « Moniteur système » est activée.
3. Les utilisateurs du programme antivirus d'ESET NOD32 pour Windows 10 ont été invités à rechercher de nouvelles mises à jour disponibles du système d'exploitation. Si vous en avez pris soin à l'avance et l'avez activé, toutes les nouvelles mises à jour Windows nécessaires seront installées et votre système sera complètement protégé contre ce virus WannaCryptor et d'autres attaques similaires.
4. De plus, les utilisateurs des produits ESET NOD32 disposent d'une fonction dans le programme permettant de détecter les menaces encore inconnues. Cette méthode basé sur l’utilisation de technologies comportementales et heuristiques.

Si un virus se comporte comme un virus, il s’agit très probablement d’un virus.

Depuis le 12 mai, la technologie du système cloud ESET LiveGrid a repoussé avec succès toutes les attaques de ce virus, et tout cela s'est produit avant même la mise à jour de la base de données de signatures.
5. Les technologies ESET assurent la sécurité, y compris pour les appareils dotés d'anciens Systèmes Windows XP, Windows 8 et Serveur Windows 2003 (Nous vous recommandons d'arrêter d'utiliser ces systèmes obsolètes). En raison d'un niveau de menace très élevé pour ces systèmes d'exploitation, Microsoft a décidé de publier des mises à jour. Téléchargez-les.
6. Pour minimiser les risques de dommages à votre PC, vous devez mettre à jour de toute urgence votre version de Windows 10 : Démarrer - Paramètres - Mise à jour et sécurité - Rechercher les mises à jour (dans les autres cas : Démarrer - Tous les programmes - Windows Update - Rechercher les mises à jour - Télécharger et installer).
7. Installez le correctif officiel (MS17-010) de Microsoft, qui corrige l'erreur du serveur SMB par laquelle le virus peut pénétrer. Ce serveur est impliqué dans cette attaque.
8. Assurez-vous que tous les outils de sécurité disponibles sont exécutés et en état de marche sur votre ordinateur.
9. Analysez l'ensemble de votre système à la recherche de virus. Lors de l'exposition d'une attaque malveillante appelée MEM:Trojan.Win64.EquationDrug.gen, redémarrez le système.
Et encore une fois je vous recommande de vérifier que les patchs MS17-010 sont installés.

Actuellement, les spécialistes de Kaspersky Lab, ESET NOD32 et d'autres produits antivirus travaillent activement à l'écriture d'un programme de décryptage de fichiers qui aidera les utilisateurs de PC infectés à restaurer l'accès aux fichiers.

Depuis des décennies, les cybercriminels exploitent avec succès les failles et les vulnérabilités de World Wide Web. Cependant, ces dernières années, on a assisté à une nette augmentation du nombre d'attaques, ainsi qu'à une augmentation de leur niveau : les attaquants sont de plus en plus dangereux et les logiciels malveillants se propagent à un rythme jamais vu auparavant.

Introduction

Nous parlons des ransomwares, qui ont fait un bond incroyable en 2017, causant des dommages à des milliers d’organisations à travers le monde. Par exemple, en Australie, les attaques de ransomwares telles que WannaCry et NotPetya ont même suscité des inquiétudes au niveau gouvernemental.

Pour résumer les « succès » des ransomwares cette année, nous examinerons les 10 plus dangereux qui ont causé le plus de dégâts aux organisations. Espérons que l'année prochaine nous tirerons les leçons et éviterons que ce type de problème n'entre dans nos réseaux.

PasPetya

L'attaque de ce ransomware a commencé avec le programme comptable ukrainien M.E.Doc, qui a remplacé 1C, interdit en Ukraine. En quelques jours seulement, NotPetya a infecté des centaines de milliers d’ordinateurs dans plus de 100 pays. Ce malware est une variante d'un ancien Rançongiciel Petya, la seule différence entre elles est que les attaques NotPetya ont utilisé le même exploit que les attaques WannaCry.

La propagation de NotPetya a touché plusieurs organisations en Australie, comme la chocolaterie Cadbury en Tasmanie, qui a dû temporairement fermer l'ensemble de son système informatique. Le ransomware a également réussi à infiltrer le plus grand porte-conteneurs du monde, propriété de Maersk, qui aurait perdu jusqu'à 300 millions de dollars de revenus.

Vouloir pleurer

Ce ransomware, terrible par son ampleur, a pratiquement conquis le monde entier. Ses attaques ont utilisé le fameux exploit EternalBlue, qui exploite une vulnérabilité du protocole Microsoft Server Message Block (SMB).

WannaCry a infecté des victimes dans 150 pays et plus de 200 000 machines dès le premier jour. Nous avons publié ce malware sensationnel.

Verrouillage

Locky était le ransomware le plus populaire en 2016, mais il a continué à fonctionner en 2017. De nouvelles variantes de Locky, baptisées Diablo et Lukitus, sont apparues cette année en utilisant le même vecteur d'attaque (phishing) pour lancer des exploits.

C'est Locky qui était à l'origine du scandale de fraude par courrier électronique à Australia Post. Selon la Commission australienne de la concurrence et de la consommation, les citoyens ont perdu plus de 80 000 dollars à cause de cette arnaque.

CrySis

Cette instance se distinguait par son utilisation magistrale du protocole RDP (Remote Desktop Protocol). RDP est l’une des méthodes de distribution de ransomwares les plus populaires, car elle permet aux cybercriminels de compromettre les machines qui contrôlent des organisations entières.

Les victimes de CrySis ont été contraintes de payer entre 455 et 1 022 dollars pour récupérer leurs fichiers.

Némucod

Nemucod est distribué à l'aide d'un e-mail de phishing qui ressemble à une facture de services de transport. Ce ransomware télécharge des fichiers malveillants stockés sur des sites Web piratés.

En termes d'utilisation d'e-mails de phishing, Nemucod est juste derrière Locky.

Jaffa

Jaff est similaire à Locky et utilise des techniques similaires. Ce ransomware ne se distingue pas par ses méthodes originales de diffusion ou de cryptage de fichiers, mais au contraire, il regroupe les pratiques les plus performantes.

Les attaquants à l’origine de cette opération ont exigé jusqu’à 3 700 dollars pour accéder aux fichiers cryptés.

Spora

Pour diffuser ce type de ransomware, les cybercriminels piratent des sites Web légitimes en y ajoutant du code JavaScript. Les utilisateurs qui accèdent à un tel site verront un avertissement contextuel les invitant à mettre à jour. Navigateur Chrome pour continuer à naviguer sur le site. Après avoir téléchargé le Chrome Font Pack, les utilisateurs ont été infectés par Spora.

Cerbère

L'un des nombreux vecteurs d'attaque utilisés par Cerber s'appelle RaaS (Ransomware-as-a-Service). Selon ce schéma, les attaquants proposent de payer pour la distribution du cheval de Troie, en promettant un pourcentage de l'argent reçu. Grâce à ce « service », les cybercriminels envoient des ransomwares et fournissent ensuite à d’autres attaquants les outils nécessaires pour les diffuser.

Cryptomix

Il s’agit de l’un des rares ransomwares à ne pas disposer d’un type spécifique de portail de paiement disponible sur le dark web. Les utilisateurs concernés doivent attendre que les cybercriminels les envoient e-mail instructions.

Des utilisateurs de 29 pays ont été victimes de Cryptomix et ont été contraints de payer jusqu'à 3 000 dollars.

Scie sauteuse

Un autre malware de la liste qui a commencé son activité en 2016. Jigsaw insère une image du clown de la série de films Saw dans les courriers indésirables. Dès que l’utilisateur clique sur l’image, le ransomware non seulement crypte, mais supprime également les fichiers si l’utilisateur paie trop tard la rançon de 150 $.

conclusions

Comme nous le constatons, les menaces modernes utilisent des exploits de plus en plus sophistiqués contre des réseaux bien protégés. Même si une sensibilisation accrue des employés peut aider à gérer l’impact des infections, les entreprises doivent aller au-delà des normes de base en matière de cybersécurité pour se protéger. Se défendre contre les menaces actuelles nécessite des approches proactives qui exploitent des analyses en temps réel alimentées par un moteur d'apprentissage qui inclut la compréhension du comportement et du contexte des menaces.

Le 12 avril 2017, des informations sont apparues sur la propagation rapide dans le monde d'un virus de cryptage appelé WannaCry, qui peut être traduit par « J'ai envie de pleurer ». Les utilisateurs ont des questions sur la mise à jour de Windows contre le virus WannaCry.

Le virus sur l'écran de l'ordinateur ressemble à ceci :

Le mauvais virus WannaCry qui crypte tout

Le virus crypte tous les fichiers de l'ordinateur et demande une rançon à un portefeuille Bitcoin d'un montant de 300 $ ou 600 $ pour soi-disant décrypter l'ordinateur. Des ordinateurs ont été infectés dans 150 pays à travers le monde, la Russie étant le plus touché.

Megafon, les chemins de fer russes, le ministère de l'Intérieur, le ministère de la Santé et d'autres entreprises sont de près confrontés à ce virus. Parmi les victimes figurent de simples internautes.

Presque tout le monde est égal devant le virus. La différence est peut-être que dans les entreprises, le virus se propage sur tout le réseau local de l'organisation et infecte instantanément le maximum d'ordinateurs possible.

Le virus WannaCry crypte les fichiers sur les ordinateurs utilisant Windows. Microsoft a publié les mises à jour MS17-010 pour divers Versions Windows XP, Vista, 7, 8, 10.

Il s'avère que ceux qui sont déterminés mise à jour automatique Windows ne court aucun risque face au virus car il a reçu la mise à jour en temps opportun et a pu l'éviter. Je ne prétends pas dire que c’est réellement le cas.

Riz. 3. Message lors de l'installation de la mise à jour KB4012212

La mise à jour KB4012212 nécessitait un redémarrage de l'ordinateur portable après l'installation, ce que je n'ai pas vraiment aimé, car on ne sait pas comment cela pourrait se terminer, mais où doit aller l'utilisateur ? Cependant, le redémarrage s'est bien passé. Cela signifie que nous vivons en paix jusqu’à la prochaine attaque virale et, hélas, il ne fait aucun doute que de telles attaques se produiront.


Dans tous les cas, il est important de disposer d'un emplacement pour restaurer le système d'exploitation et vos fichiers.

Mise à jour Windows 8 de WannaCry

Pour un ordinateur portable sous licence Windows 8, la mise à jour KB 4012598 a été installée, car