«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
13 мая 2017 63487

Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство

Обновлено 18 мая: Расширенное руководство по защите от WannaCry читайте здесь.

Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).

Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и «Мегафона». Также об атаках на свои системы сообщили Сбербанк и Минздрав.

Буфер обмена01111d.png
Окно с требованием выкупа


Рассказываем, что прямо сейчас надо сделать для избежания заражения.

1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:

Пуск — Все программы — Центр обновления Windows — Поиск обновлений — Загрузить и установить

Прямая ссылка на обновление: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. Даже если система не была обновлена и WannaCry попал на компьютер — и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации

3. В продуктах ESET NOD32 для Windows предусмотрена функция проверки обновлений операционной системы. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак.

4. Решения ESET защищают даже устройства на устаревших системах Windows XP, Windows 8 и Windows Server 2003 (но от их использования мы все-таки рекомендуем отказаться). 

В связи с высоким уровнем угрозы Microsoft также выпустила обновления для этих ОС. Загрузить их можно здесь. 

5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус — скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.

Подробнее о рекомендуемых настройках системы эвристики можно узнать здесь:
https://www.esetnod32.ru/landing/noransom/

Комментарии

46
Оставьте комментарий!
Энтони Старк 13 мая 2017 в 21:35 #
у-ху-ху опасный однако вирусяка , что мне делать если я не хочу обновлять свой Windows 7  , и антивирус ESET Smart Security 8 досихпор стоит ? просто мне ваша обновлённая версия ESET не понравилась. Однако базу данных я всёже конечно обновляю , мой ПК под угрозой ?
Нужно установить обновление безопасности виндовс и обновить вирусную базу сигнатур антивируса!!! Должно пронести,а так вирус красиво шороху навел столько бед натворил многим21
Антон Тарасов 15 мая 2017 в 11:24 #
Первое, что необходимос сделать — установить последние обновления ОС.
Александр Шульман 15 мая 2017 в 19:45 #
Не устанавливается. С сайта Микрософт загружен файл WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe согласно правилу выбора языка. После запуска появляется информация

установленная на этом компьютере версия XP SP3 не соответствует данному пакету обновления.

OS на ноуте ThinkPad T-61 определяется как Microsoft Windows Pro версия 2002 SP 3.
В чём может быть причина?
Александр Шульман 15 мая 2017 в 19:47 #
Поправка - Microsoft Windows XP Pro версия 2002 SP 3
Валентин Поляков 15 мая 2017 в 20:16 #
Попробуйте, пожалуйста, загрузить отсюда: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Александр Шульман 16 мая 2017 в 01:03 #
Спасибо за ссылку! Там, действительно, полная таблица патчей всех версий windows. Есть и просто для XP SP3. Оказалось, что такой файл я уже загрузил по ссылке на какой-то странице из ответов Яндекса на поисковый запрос про патч. Но там не был указан источник, а только прямая ссылка. Я побоялся сразу довериться этому совету и продолжил поиски. Они привели на страницу, где всё было написано правильно, но, повидимому, по ошибке в месте, где запрашиваешь патч для просто ХР, также поставлена ссылка на патч для версии Embedded. Подозрение на такую ошибку появилось сразу из-за соответствующего признака в имени файла. Сейчас благополучно установил, всё пока работает.
Так что в панической суете у Микрософта продолжаются ошибки. Микрософтовское начальство пытается сейчас стрелки на ЦРУ и АНБ перевести, как будто это не в их продуктах во всех версиях (!!!) эта дыра оставалась столько лет. Хорошо бы счёт им выкатили пострадавшие за убытки. Может стали бы тщательнее работать :-). Хотя вряд ли - в условиях использования они всегда отказываются от всякой ответственности за любые потери вследствие использования их продуктов.
а для Виндовс 7? Там вроде нет обновлений по поводу вот этого вируса
Валентин Поляков 16 мая 2017 в 17:16 #
Александр, смотрите по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Кто Где 17 мая 2017 в 19:25 #
Такое бывает когда давно не обновлял ОСь или вообще после установке обновления не устанавливались. Для ХР уже не выпускают обновы. Поэтому просто запусти обновление и выкачай все, что есть и установи. Если ниразу не запускал, то ХР нужно дать пинка. Запускай родной браузер "интернет экспоер" вверху меню не помню, кажется в "настройках" есть "обновление виндоус" или update....... как то так. Точно не помню, давно это было :-) Дальше все как написано. Пару, тройку раз так сделаешь, дальше ХР сам будет обновы вытягивать, а ты устанавливай. В правом углу, где часы будет появляться желтый щит, на него клик и понеслась. NET Framework и Microsoft Visual C++ сам можешь выкачать, все версии и установи. Как показывает практика они нужны.
Popovici Aurel 19 мая 2017 в 15:03 #
Александр Шульман Вы скачали патч для ХР для эмбедед системы. Посмотрите там же должна быть ссылка на стандартный виндовс ХР
Максим Масов 18 мая 2017 в 17:19 #
Закройте порты и отключите SMB !
Анастас Пащенко 15 мая 2017 в 11:33 #
что делать если вирус все таки попал на комп и заразил все файлы? как полность его удалить, востановить файлы и не переустанавливать систему?
Антон Тарасов 15 мая 2017 в 13:00 #
Если компьютер все-таки заражен, вам необходимо обратится в нашу техподдержку, описать ситуацию и прислать несколько зашифрованных файлов для анализа возможности расшифровки.
Мне кажется это заказуха новостная. Вирус сам не запустится пока вы его не скачаете.
Вот здесь в статье написано,что обновления для Виндовс можно скачать здесь. Ну жму на слово здесь,выскакивает в новой вкладке страница для  меня непонятными кодировками,но функции скачать,чтобы нажать на нё мышкой,нет.ну и как тогда скачать?
Валентин Поляков 16 мая 2017 в 12:08 #
Александр, добрый день, какую операционную систему Вы используете?
Добрый! Виндовс 7 максимальная
32 бита или как правильно,н не 64
Прямая ссылка на обновление: https://technet.microsoft.com/en-us/library/security/ms17-010.aspxПравда вот прочитал выше,что есть ссылка на обновление.можно скачать,но как установить я ни разу не устанавливал сам,потому что компьютер устанавливал раньше автоматом. К тому же зайдя по ссылке там написано  на базе х-64 и на базе х-86. Для 32 ь нужно качать х-86?
Максим Лукоянов 17 мая 2017 в 16:22 #
Александр, если у Вас 32-х разрядная ОС, то Вам необходимо скачивать обновления для х86 (т.е. если Вы увидите x86, то знайте, что речь идет о x32). Установка обновлений происходит стандартно: скачиваете - запускаете скачанный файл - обновления устанавливаются. Трудностей возникнуть не должно.
Спасибо за напоминание. Скачал обновления,но проблемы есть,они не устанавливаются.   установщик обнаружил ошибку 0х80070424.пробовал устранять по подсказкам в инет,но не получилось устранить,потмоу что после этого появлялась новая причина. времени не было особо заняться этим,поэтому отложил.Появятся время буду устранять проблему по подсказкам в инете
Кто Где 17 мая 2017 в 19:33 #
Морочат тебе голову, гении. На иконке Мой компьютер нажимаешь правую кнопку, далее - свойства. Откроется окно, влевом нижнем углу Центр обновления, тебе туда. Слева, настройка параметров, тебе туда. Далее, ставишь галочки везде где можно и выставляешь - устанавливать обновления автоматически(рекомендуется). Выкачивай все, устанавливай, потом можешь так же,но в обратном порядке отключить. Все, незачто.
в центре обновления не очуществляется поиск обновлений,служба Виндовс по поиску не запущена. Выскакивает окно с таким пояснением и что нужно перезагрузить компьютер,чтобы всё осуществилось. но после перезагрузки ничего не осуществляется,всё как было на месте,так и осталось. Займусь позже по подсказкам в инете по порядочку разбираться где галочки ставить
Перевёл текст с той страницы,то там в переводе написано,что ошибкак какая-то
Камиль Ситдиков 16 мая 2017 в 20:26 #
 Походу угроза не грозит этому устройству, и защита недоступна никогда, так как ни активирована лицензия 227 пускай сос..т сша
Максим Лукоянов 17 мая 2017 в 16:02 #
Камиль, в данном случае необходимо выполнить сброс winsock для активации. 
Откройте административную командную строку (чтобы открыть, клавиша Win + R, в строку поиска cmd) . Щелкните правой кнопкой мыши на значок командной строки и выберите Запуск от имени администратора.
 
Введите команду netsh winsock reset и нажмите Enter.
 
Перезагрузите компьютер и повторите активацию.
Виктор Воробьев 17 мая 2017 в 17:51 #
NOD32 не умеет защищать от BackDoor.Dande.2, (созданного скорее всего спецслужбами). т.н. вирус для аптек, так что не факт, что он сможет уберечь комп от атак.21
Кто Где 17 мая 2017 в 19:53 #
WannaCryА какой антивирус защищает на 100% ??? И касперский можно назвать дырявым и доктор вэб какой то слабый :-))) и т.д. Если пользователь дурак и если в организации нет толкового админа, то антивирус не виноват, что ты в штаны на делал :-)
Кто Где 17 мая 2017 в 19:43 #
WannaCryЛучший способ это ты сам. Не открывай письма на почте, если не знаешь от кого пришло. Не переходить по ссылкам, не важно где находишься, в соц.сетях или на форумах. Думай, потом делай. И смотри куда суешь...... не на помойке все таки нашел :-))))))))
Виктор Воробьев 17 мая 2017 в 20:07 #
Это все верно, пользователь сам виноват, эту заразу не смог вылечить ни один антивирус, когда его занес на комп неопытный пользователь, но я к тому, что NOD32 отключить для спецслужб, как два пальца...
Кто Где 17 мая 2017 в 21:44 #
Если все установки по умолчанию, тогда возможно. Лично я все установки делаю сам, по умолчанию действительно не совсем корректно , легко работает. А от куда такая инфа. Что спец. службы, удаленно отключают Нод32. Есть доказательства так утверждать? В студию доказательства, действительно интересно. А если нет, то это пиз....ь и не более. Без обид.
Виктор Воробьев 18 мая 2017 в 05:53 #
Это лично мое мнение, точно знаю, что 2 аптеки в городе былили заражены этим, причем настройки защиты NOD32 были на максимуме, одну аптеку NID32 от модификации BACKDOOR2 вылечил. а вторую пришлось заново устанавливать, месяц пробовал вылечить - не вышло. Это только аптечные компы с "Единым заказом", а с шифровальщиками первый раз столкнулся примерно года 2 назад, в основном заражались бухгалтера, юристы и секретари.
Кто Где 18 мая 2017 в 06:43 #
:-))) как это знакомо. Юрики, бухи и секретари - самые занятые и очень важные сотрудники :-). Весь день 2 цифры по монитору гоняют, но очень всегда заняты. А когда отчет показываешь им с логов шлюза(firewall) и говоришь : мне директор сказал отчет ему нужен, кто, куда и как использует интернет... Как они ссаться начинают :-) Ладно, это лирика... Уже говорил, перед дебиламами антивирус бессилен :-) Нод32 одно пропустит, другой антивиор другое пропустит...... какая по сути разница. Я на шлюзе отрубал все, а потом по мере необходимости(письменно от директора) включал, то, что надо. И пиво насили с кроликами, чтоб ОДНОКЛАСНИКИ включил............:-)
))) Интересно пояитать пр такое. мне понравилось пр пиво и кроликов,хоть сам пиво не пью уже. наше пиво убивает.
Да. думаю прав.
Михаил Антонов 18 мая 2017 в 06:30 #
"Если вирус ведет себя как вирус — скорее всего, это вирус."
Привет, Кэп! 0

Как говорил мой дед - "Я твой дед" ©Мой дед
Альберт Жемерикин 18 мая 2017 в 08:15 #
не качаетсяобновление на вин7. выдает код ошибки 8024402С
Максим Лукоянов 18 мая 2017 в 15:08 #
Единственное, что может блокировать установку обновлений в Windows - это персональный файервол. Альберт, если Вы используете версию антивируса со встроенным файерволом, то попробуйте приостановить его работу и повторите попытку обновления. Откройте антивирус и нажмите клавишу F5 - вкладка "Персональный фаервол" - снимите галку "Включить персональный файервол" - "Ок". 
Дмитрий Зубков 18 мая 2017 в 15:48 #
Нет. Проверь запущены ли службы Bits и WindowsUpdate.
Файервол никогда не будет блокировать обновления, если конечно вручную не настроил.
Максим Лукоянов 18 мая 2017 в 16:00 #
Дмитрий, я имел в виду единственное, чем антивирус может блокировать обновления Windows. Спасибо за дополнения :)
Кто Где 22 мая 2017 в 20:09 #
Решение ошибки 0x8024402c и 0x8024502d в автоматическом режиме
Непосредственно на официальном сайте в качестве простейшего инструмента для исправления этой ошибки рекомендуется скачать автоматизированное средство. На сегодняшний день это небольшая утилита под названием Microsoft Easy Fix 50573. Заметьте, ранее предлагавшееся средство устранения сбоя Microsoft Fix It! при его использовании результата не дает. Все равно по окончании процесса сканирования возникает ошибка. Точно так же не дает эффекта и сканирование системных компонентов с их восстановлением при помощи команды sfc /scannow, хотя многие считают ее универсальным средством. Однако выше упомянутая утилита срабатывает, как положено, и ошибка обновления Windows 7 8024402c устраняется в течение пары минут. Разве что в некоторых случаях может потребоваться перезапуск системы (но, как считается, это не обязательно).
Татьяна Антонова 18 мая 2017 в 11:37 #
Добрый день.
Коллеги, а если всё таки вирусня прошла. У Вас уже разработаны дешифраторы?
Боримся сейчас с этой заразой на одной машине. Пока ничего не помогает.
Максим Лукоянов 18 мая 2017 в 14:55 #
Татьяна, данный вирус использует сочитание AES и RSA ключей для шифрования, которые являются крайне стойкими для дешифровки, на подбор ключа может уйти неопределенное время. Вы можете направить несколько зашифрованных файлов в адрес нашей Службы Добрых Дел (sdd@esetnod32.ru) и если нам удастся подобрать дешифратор, мы обязательно свяжемся с Вами.
Brutal Morrah 21 мая 2017 в 13:01 #
Всегда обновляю Win 7 и Win 10, но вручную 14
Владислав Бегалинов 16 июня 2017 в 18:31 #
До нас так и не дошел)))