WannaCry : comment se protéger d'un virus rançongiciel. Ransomware gonflé les budgets IB Bad WannaCry virus qui crypte tout

Le nouveau malware rançongiciel WannaCry (également connu sous le nom de WannaCry Decryptor, WannaCrypt, WCry et WanaCrypt0r 2.0) s'est fait connaître dans le monde le 12 mai 2017, lorsque les fichiers sur les ordinateurs de plusieurs établissements de santé au Royaume-Uni ont été cryptés. Comme il est vite devenu clair, des entreprises de dizaines de pays se sont retrouvées dans une situation similaire, et la Russie, l'Ukraine, l'Inde et Taïwan ont le plus souffert. Selon Kaspersky Lab, rien que le premier jour de l'attaque, le virus a été détecté dans 74 pays.

Pourquoi WannaCry est-il dangereux ? Le virus chiffre les fichiers divers types(l'obtention d'une extension .wcry rend les fichiers complètement illisibles) et demande ensuite une rançon de 600 $ pour le décryptage. Pour accélérer la procédure de transfert d'argent, l'utilisateur est intimidé par le fait que dans trois jours, le montant de la rançon augmentera, et après sept jours, les fichiers ne pourront plus du tout être déchiffrés.

La menace d'infection par le virus rançongiciel WannaCry affecte les ordinateurs basés sur les systèmes d'exploitation Windows. Si vous utilisez versions sous licence Windows et effectuez régulièrement des mises à jour du système, vous n'avez pas à craindre qu'un virus pénètre dans votre système de cette manière.

Les utilisateurs de MacOS, ChromeOS et Linux, ainsi que des systèmes d'exploitation mobiles iOS et Android, ne devraient pas du tout avoir peur des attaques WannaCry.

Que faire si vous devenez victime de WannaCry ?

La National Crime Agency (NCA) du Royaume-Uni recommande aux petites entreprises qui ont été victimes de ransomwares et qui s'inquiètent de la propagation du virus en ligne de prendre les mesures suivantes :

  • Isolez immédiatement votre ordinateur, ordinateur portable ou tablette du réseau d'entreprise/interne. Désactivez le Wi-Fi.
  • Changez de pilote.
  • Non connecté à Réseaux Wi-Fi, connectez directement votre ordinateur à Internet.
  • Rafraîchir système opérateur et tous les autres logiciels.
  • Mettez à jour et exécutez votre antivirus.
  • Reconnectez-vous au réseau.
  • Moniteur trafic réseau et/ou exécutez une analyse antivirus pour vous assurer que le rançongiciel a disparu.

Important!

Les fichiers chiffrés par le virus WannaCry ne peuvent être déchiffrés que par des intrus. Par conséquent, ne perdez pas de temps et d'argent avec ces "génies de l'informatique" qui promettent de vous éviter ce casse-tête.

Cela vaut-il la peine de payer de l'argent aux attaquants ?

Les premières questions posées par les utilisateurs qui ont rencontré le nouveau virus rançongiciel WannaCry sont : comment récupérer des fichiers et comment supprimer un virus. Ne pas trouver gratuit et moyens efficaces décisions, ils sont confrontés à un choix - verser de l'argent à l'extorqueur ou non ? Étant donné que les utilisateurs ont souvent quelque chose à perdre (des documents personnels et des archives de photos sont stockés sur l'ordinateur), le désir de résoudre le problème à l'aide d'argent se fait vraiment sentir.

Mais la NCA exhorte ne pasverser de l'argent. Si vous décidez toujours de le faire, gardez à l'esprit ce qui suit :

  • Tout d'abord, il n'y a aucune garantie que vous aurez accès à vos données.
  • Deuxièmement, votre ordinateur peut toujours être infecté par un virus même après le paiement.
  • Troisièmement, vous donnerez très probablement votre argent à des cybercriminels.

Comment se protéger de WannaCry ?

Quelles mesures prendre pour prévenir l'infection par le virus, explique Vyacheslav Belashov, chef du département pour la mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur :

La particularité du virus WannaCry est qu'il peut pénétrer dans le système sans intervention humaine, contrairement aux autres virus rançongiciels. Auparavant, pour que le virus fonctionne, il fallait que l'utilisateur soit inattentif - qu'il suive un lien douteux depuis un email qui ne lui était pas vraiment destiné, ou qu'il télécharge une pièce jointe malveillante. Dans le cas de WannaCry, une vulnérabilité est exploitée qui existe directement dans le système d'exploitation lui-même. Par conséquent, les premiers risques étaient les ordinateurs sur Socle Windows, qui n'a pas installé les mises à jour du 14 mars 2017. Il suffit d'un seul poste de travail infecté du réseau local afin que le virus se propage à d'autres avec une vulnérabilité existante.

Les utilisateurs touchés par le virus ont une question principale : comment décrypter leurs informations ? Malheureusement, il n'y a pas encore de solution garantie, et il est peu probable qu'elle soit prévue. Même après avoir payé le montant spécifié, le problème n'est pas résolu. De plus, la situation peut être aggravée par le fait qu'une personne, dans l'espoir de récupérer ses données, risque d'utiliser des décrypteurs soi-disant « gratuits », qui en réalité sont aussi des fichiers malveillants. Par conséquent, le principal conseil que l'on peut donner est d'être prudent et de tout mettre en œuvre pour éviter une telle situation.

Que peut-on et doit-on faire exactement pour le moment :

1. Installez les dernières mises à jour.

Cela s'applique non seulement aux systèmes d'exploitation, mais également aux outils de protection antivirus. Vous trouverez des informations sur la mise à jour de Windows.

2. Faites des copies de sauvegarde des informations importantes.

3. Soyez prudent lorsque vous travaillez avec le courrier et Internet.

Faites attention aux e-mails entrants contenant des liens et des pièces jointes douteux. Pour travailler avec Internet, il est recommandé d'utiliser des plugins qui vous permettent de vous débarrasser des publicités inutiles et des liens vers des sources potentiellement malveillantes.

  • Plus de 200 000 ordinateurs ont déjà été infectés !
Les principales cibles de l'attaque visaient le secteur des entreprises, suivi des entreprises de télécommunications en Espagne, au Portugal, en Chine et en Angleterre.
  • Le plus gros coup a été porté aux utilisateurs et aux entreprises russes. Y compris Megafon, les chemins de fer russes et, selon des informations non confirmées, la commission d'enquête et le ministère de l'intérieur. La Sberbank et le ministère de la Santé ont également signalé des attaques contre leurs systèmes.
Pour décrypter les données, les attaquants exigent une rançon de 300 à 600 dollars en bitcoins (environ 17 000 à 34 000 roubles).

Comment installer officiel ISO de Windows 10 sans utiliser l'outil de création de médias

Carte interactive de l'infection (CLIQUEZ SUR LA CARTE)
fenêtre de rançon
Crypte les fichiers des extensions suivantes

Malgré le ciblage du virus pour attaquer le secteur des entreprises, utilisateur régulier il n'est pas non plus à l'abri de la pénétration de WannaCry et d'une éventuelle perte d'accès aux fichiers.
  • Instructions pour protéger votre ordinateur et les données qu'il contient contre les infections :
1. Installez l'application Kaspersky System Watcher, qui a une fonction intégrée pour annuler les modifications causées par les actions d'un chiffreur qui a quand même réussi à contourner les outils de protection.
2. Il est conseillé aux utilisateurs du programme antivirus de Kaspersky Lab de vérifier que la fonction Surveillance du système est activée.
3. Pour les utilisateurs de l'antivirus ESET NOD32 pour Windows 10, une fonction a été introduite pour vérifier les nouvelles mises à jour disponibles du système d'exploitation. Dans le cas où vous en auriez pris soin à l'avance et que vous l'auriez activé, toutes les nouvelles mises à jour Windows nécessaires seront installées et votre système sera complètement protégé contre ce virus WannaCryptor et d'autres attaques similaires.
4. De plus, les utilisateurs des produits ESET NOD32 disposent d'une fonction dans le programme telle que la détection de menaces encore inconnues. Cette méthode basée sur l'utilisation de technologies comportementales et heuristiques.

Si un virus se comporte comme un virus, il s'agit très probablement d'un virus.

Depuis le 12 mai, la technologie du système cloud ESET LiveGrid a très bien réussi à repousser toutes les attaques d'attaques de ce virus, et tout cela s'est produit avant même l'arrivée de la mise à jour de la base de données de signatures.
5. Les technologies ESET offrent une sécurité même aux appareils avec Systèmes Windows XP, Windows 8 et Serveur Windows 2003 (nous vous recommandons de cesser d'utiliser ces systèmes obsolètes). En raison du niveau de menace très élevé qui a surgi pour ces systèmes d'exploitation, Microsoft a décidé de publier des mises à jour. Téléchargez-les.
6. Pour minimiser les risques d'atteinte à votre PC, vous devez de toute urgence mettre à jour votre version de Windows 10 : Démarrer - Paramètres - Mise à jour et Sécurité - Rechercher les mises à jour (dans les autres cas : Démarrer - Tous les programmes - Windows Update - Rechercher les mises à jour - Télécharger et installer).
7. Installez le correctif officiel (MS17-010) de Microsoft, qui corrige un bogue du serveur SMB par lequel un virus peut pénétrer. Ce serveur est impliqué dans cette attaque.
8. Vérifiez que tous les outils de sécurité disponibles sont en cours d'exécution et en état de marche sur votre ordinateur.
9. Effectuez une analyse antivirus de l'ensemble du système. Lorsqu'une attaque malveillante nommée MEM:Trojan.Win64.EquationDrug.gen, redémarrez le système.
Et encore une fois, je vous recommande de vérifier que les correctifs MS17-010 sont installés.

Actuellement, les spécialistes de Kaspersky Lab, ESET NOD32 et d'autres produits antivirus travaillent activement à l'écriture d'un programme de décryptage des fichiers, qui aidera les utilisateurs de PC infectés à restaurer l'accès aux fichiers.

Pendant des décennies, les cybercriminels ont exploité avec succès les failles et les vulnérabilités de Internet. Cependant, ces dernières années, il y a eu une nette augmentation du nombre d'attaques, ainsi qu'une augmentation de leur niveau - les attaquants deviennent plus dangereux et les logiciels malveillants se propagent à un rythme jamais vu auparavant.

Introduction

Nous parlons d'un ransomware qui a fait un bond incroyable en 2017, causant des dommages à des milliers d'organisations à travers le monde. Par exemple, en Australie, les attaques de rançongiciels telles que WannaCry et NotPetya ont même suscité des inquiétudes au niveau gouvernemental.

En résumant les "succès" des rançongiciels cette année, nous examinerons les 10 plus dangereux qui ont causé le plus de dommages aux organisations. Espérons que l'année prochaine nous tirerons les leçons et empêcherons ce problème de pénétrer nos réseaux.

Pas Petya

L'attaque de ce rançongiciel a commencé avec le programme de comptabilité ukrainien M.E.Doc, qui a remplacé 1C, qui était interdit en Ukraine. En quelques jours seulement, NotPetya a infecté des centaines de milliers d'ordinateurs dans plus de 100 pays. Ce malware est une variante d'un ancien l'extorqueur Petya, ils ne diffèrent que par le fait que les attaques NotPetya ont utilisé le même exploit que les attaques WannaCry.

Au fur et à mesure de sa propagation, NotPetya a touché plusieurs organisations en Australie, comme la chocolaterie Cadbury en Tasmanie, qui a dû fermer temporairement tout son système informatique. Le ransomware a également réussi à infiltrer le plus grand porte-conteneurs au monde appartenant à Maersk, qui aurait perdu jusqu'à 300 millions de dollars de revenus.

Vouloir pleurer

Ce rançongiciel, terrible par son ampleur, a pratiquement conquis le monde entier. Ses attaques ont utilisé le tristement célèbre exploit EternalBlue exploitant une vulnérabilité du protocole Microsoft Server Message Block (SMB).

WannaCry a infecté des victimes dans 150 pays et plus de 200 000 machines le premier jour seulement. Nous avons publié ce malware sensationnel.

Locky

Locky était le ransomware le plus populaire en 2016, mais ne s'est pas arrêté en 2017. De nouvelles variantes de Locky, nommées Diablo et Lukitus, ont vu le jour cette année en utilisant le même vecteur d'attaque (le phishing) pour déclencher des exploits.

C'est Locky qui était à l'origine du scandale de l'escroquerie par courrier électronique d'Australia Post. Selon l'Australian Competition and Consumer Commission, les citoyens ont perdu plus de 80 000 $ à cause de cette arnaque.

crise

Cette instance a été remarquée pour son utilisation magistrale du protocole de bureau à distance (RDP). RDP est l'une des méthodes de distribution de rançongiciels les plus populaires car elle peut être utilisée par les cybercriminels pour compromettre des machines qui contrôlent des organisations entières.

Les victimes de CrySis ont été obligées de payer entre 455 $ et 1 022 $ pour que leurs fichiers soient restaurés.

Némucode

Nemucod est distribué via un e-mail de phishing qui ressemble à une facture d'expédition. Ce rançongiciel télécharge des fichiers malveillants stockés sur des sites Web piratés.

Lorsqu'il s'agit d'utiliser des e-mails de phishing, Nemucod est juste derrière Locky.

jaff

Jaff est similaire à Locky et utilise des méthodes similaires. Ce rançongiciel n'est pas remarquable pour ses méthodes originales de distribution ou de cryptage de fichiers, mais au contraire, il combine les pratiques les plus abouties.

Les attaquants derrière lui ont exigé jusqu'à 3 700 $ pour l'accès aux fichiers cryptés.

Spore

Pour diffuser ce type de rançongiciel, les cybercriminels pénètrent dans des sites Web légitimes en y ajoutant du code JavaScript. Les utilisateurs qui atterrissent sur un tel site recevront un avertissement contextuel les invitant à mettre à jour Navigateur Chrome pour continuer à naviguer sur le site. Après avoir téléchargé le soi-disant Chrome Font Pack, les utilisateurs ont été infectés par Spora.

cerbère

L'un des nombreux vecteurs d'attaque utilisés par Cerber s'appelle RaaS (Ransomware-as-a-Service). Dans le cadre de ce stratagème, les attaquants proposent de payer pour la distribution du cheval de Troie, promettant un pourcentage de l'argent reçu en retour. Grâce à ce « service », les cybercriminels envoient des rançongiciels et fournissent ensuite à d'autres attaquants les outils nécessaires pour le propager.

Cryptomix

C'est l'un des rares rançongiciels à ne pas disposer d'un certain type de portail de paiement disponible sur le dark web. Les utilisateurs concernés doivent attendre que les cybercriminels leur envoient un e-mail e-mail des instructions.

Les victimes de Cryptomix étaient des utilisateurs de 29 pays, ils ont été obligés de payer jusqu'à 3 000 $.

Scie sauteuse

Un autre malware de la liste, qui a commencé son activité en 2016. Jigsaw insère une image du clown de la série de films Saw dans les spams. Une fois que l'utilisateur a cliqué sur l'image, le ransomware non seulement crypte mais supprime également les fichiers au cas où l'utilisateur serait trop tard pour payer la rançon de 150 $.

conclusion

Comme nous pouvons le voir, les menaces modernes utilisent des exploits de plus en plus sophistiqués contre des réseaux bien protégés. Bien qu'une sensibilisation accrue des employés aide à gérer l'impact des infections, les entreprises doivent aller au-delà des normes de base en matière de cybersécurité pour se protéger. La protection contre les menaces d'aujourd'hui nécessite des approches proactives qui exploitent la puissance de l'analyse en temps réel basée sur un moteur d'apprentissage qui comprend la compréhension du comportement et du contexte des menaces.

Le 12 avril 2017, des informations sont apparues sur la propagation rapide d'un virus de cryptage appelé WannaCry dans le monde entier, qui peut être traduit par "Je veux pleurer". Les utilisateurs ont des questions sur la mise à jour de Windows à partir du virus WannaCry.

Un virus sur un écran d'ordinateur ressemble à ceci :

Le mauvais virus WannaCry qui crypte tout

Le virus crypte tous les fichiers sur l'ordinateur et demande une rançon de 300 $ ou 600 $ au portefeuille Bitcoin pour soi-disant décrypter l'ordinateur. Des ordinateurs dans 150 pays du monde ont été infectés, le plus touché étant la Russie.

MegaFon, les chemins de fer russes, le ministère de l'Intérieur, le ministère de la Santé et d'autres entreprises se sont retrouvés face à face avec ce virus. Parmi les victimes figurent des internautes ordinaires.

Presque tout le monde est égal devant le virus. La différence, peut-être, est que dans les entreprises, le virus se propage à travers le réseau local au sein de l'organisation et infecte instantanément le plus grand nombre possible d'ordinateurs.

Le virus WannaCry crypte les fichiers sur les ordinateurs exécutant Windows. En mars 2017, Microsoft a publié des mises à jour MS17-010 pour divers Versions Windows XP, Vista, 7, 8, 10.

Il s'avère que ceux qui sont configurés mise à jour automatique Windows est hors de la zone à risque pour un virus, car il a reçu la mise à jour en temps opportun et a pu l'éviter. Je ne vais pas prétendre que c'est réellement le cas.

Riz. 3. Message lors de l'installation de la mise à jour KB4012212

Après l'installation, la mise à jour KB4012212 a nécessité un redémarrage de l'ordinateur portable, ce que je n'ai pas vraiment aimé, car on ne sait pas comment cela pourrait se terminer, mais où l'utilisateur doit-il aller ? Cependant, le redémarrage s'est bien passé. Cela signifie que nous vivons en paix jusqu'à la prochaine attaque virale et, hélas, il ne fait aucun doute que de telles attaques auront lieu.


Dans tous les cas, il est important d'avoir un endroit pour restaurer le système d'exploitation et vos fichiers à partir de.

Mise à jour Windows 8 de WannaCry

Pour un ordinateur portable avec Windows 8 sous licence, la mise à jour KB 4012598 a été installée, car