В начале весны была обнаружена уязвимость в протоколе SMB v1, она позволяет выполнять злоумышленнику на уязвимой машине произвольный код. Практически сразу же появился патч от Майкрософта и вирус-вымогатель, который шифрует файлы пользователя и требует деньги за дешифрование. Обезопасить свой компьютер и сеть можно установив соответствующий патч или запретив в найстройках системы использование SMB v1, а лучше сделать и то и другое. Эти меры защитят Ваш компьютер от заражения по сети, но если Вы сами скачаете и запустите вирус то они не помогут.
Тут на английском подробно про уязвимость: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, ссылки на патчи в конце статьи, если Ваш компьютер не заражен, листайте ниже и устанавливайте патчи (если включено автоматическое обновление, то вероятно патч уже установлен, но лучше перестраховаться и проверить).
Если Ваш компьютер заражен, то на данный момент удалить WannaCryptor можно разными способами:
- Первым делом установите патч закрывающий уязвимость (ссылки ниже), если этого не сделать возможно повторное заражение
- В Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 использование уязвимого протокола SMB v1 можно запретить командой:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
Для этого запустите PowerShell от имени администратора, скопируйте выделенное жирным и кликните правой кнопкой на окне PowerShell, затем нажмите Enter, после необходимо перезагрузить компьютер для применения изменений.Команда для Windows 8 and Windows Server 2012 выглядит иначе:Set-SmbServerConfiguration -EnableSMB1Protocol $false
- Используйте утилиту MalwareBytes (по отзывам помогает)
- Используйте AdwCleaner (так же есть подтвержденные случаи успешного лечения)
- Лечение просто удаляет вирус, но зашифрованные файлы так и остаются зашифрованными.
- Так же не лишним будет проверить компьютер бесплатной антивирусной утилитой Cureit
- Учитывая масштабы атаки весьма вероятно появления утилиты для дешифровки в обозримом будущем, пока не ясно, можно ли расшифровать файлы если заплатить вымогателям.
Ссылки на патчи:
Несмотря на прекращение поддержки Windows XP для нее и WIndows Server 2003 так же выпустили обновление закрывающее уязвимости в протоколе SMB v1:
UPD На начало июня расшифровщика нет, но весьма вероятно он будет, так что зашифрованные файлы можно не спешить удалять. Для тех кто только заразился и еще не перезагружал компьютер есть возможность расшифровать файлы WannaCry.
Дыра в Win как раз таки и используется для проникновения вируса. А где они сидят? Правильно, на сайтах с сомнительной репутацией — то есть порносайтах. Не сами же вы пишите вирус для заражения своего компа.