Як оновити Windows, щоб захиститися від WannaCry?
Про атаку шифрувальника WannaCry чули вже, здається, всі. Ми написали про це вже два пости - із загальним розповіддю про те, що ж сталося, і з порадами для бізнесу. І з'ясували, що далеко не всі розуміють, що, де і як треба оновити, щоб закрити в Windows уразливість, через яку WannaCry проникав на комп'ютери. Розповідаємо, що треба зробити і де брати патчі.
1. Дізнайтеся версію Windows на своєму комп'ютері
По-перше, важливо, що шифрувальник WannaCry існує тільки для Windows. Якщо на вашому пристрої в якості операційної системи використовується macOS, iOS, Android, Linux або що завгодно інше, то для нього цей зловредів загрози не представляє.
А ось для пристроїв на Windows - представляє. Але для різних версій Windows потрібні різні патчі. Так що перед тим, як щось ставити, потрібно розібратися, яка у вас версія Windows.
А ось для пристроїв на Windows - представляє. Але для різних версій Windows потрібні різні патчі. Так що перед тим, як щось ставити, потрібно розібратися, яка у вас версія Windows.
Робиться це так:
Натисніть на клавіатурі клавіші [Win] і [R] одночасно.
У вікні введіть winver і натисніть OK. У вікні буде вказана версія Windows.
Якщо ви не знаєте, 32-розрядна у вас версія системи або 64-розрядна, ви можете просто завантажити обидва оновлення, і для 32-бітної Windows, і 64-бітної - один з них обов'язково встановиться.
У вікні введіть winver і натисніть OK. У вікні буде вказана версія Windows.
Якщо ви не знаєте, 32-розрядна у вас версія системи або 64-розрядна, ви можете просто завантажити обидва оновлення, і для 32-бітної Windows, і 64-бітної - один з них обов'язково встановиться.
2. Встановіть патч MS17-010, який закриває уразливість Windows
Визначили версію системи? Ось посилання на патчі для всіх версій Windows, для яких вони взагалі є:
Windows 7 64-розрядна
Windows 8 32-розрядна
Windows 8 64-розрядна
Windows 8.1 32-розрядна
Windows 8.1 64-розрядна
Windows 10 32-розрядна
Windows 10 64-розрядна
Windows 10 Версія 1511 32-розрядна
Windows 10 Версія 1511 64-розрядна
Windows 10 Версія 1607 32-розрядна
Windows 10 Версія 1607 64-розрядна
При натисканні на одне з посилань скочується виконуваний файл з розширенням MSU з необхідним оновленням. Натисніть на нього і далі слідуйте підказкам майстра установки. Після закінчення установки на всякий випадок перезавантажте систему. Готово - вразливість закрита, просто так на ваш комп'ютер WannaCry вже не пробереться.
3. Перевірте комп'ютер на віруси
Можливо, WannaCry встиг пролізти на ваш комп'ютер до того, як ви закрили вразливість. Так що про всяк випадок варто перевірити комп'ютер на віруси.
Переконайтеся, що у вас включений модуль Моніторинг активності. Для цього треба зайти в налаштування, виберіть розділ Захист і переконайтеся, що навпроти пункту Моніторинг активності написано Увімкнути.
Запустіть швидку перевірку комп'ютера на віруси. Для цього в інтерфейсі антивірусного рішення виберіть розділ Перевірка, в ньому - пункт Швидка перевірка, а потім натисніть Запустити перевірку.
Якщо антивірус виявить зловреда з вердиктом Trojan.Win64.EquationDrug.gen - його треба видалити, а потім перезавантажити комп'ютер.
Все, ви захищені від WannaCry. Тепер подбайте про рідних і друзів, які не вміють захищати свої пристрої самі.
Як позбутись mail.ru назавжди
Щоб позбутися цього противного і нав’язливого софту, часто доводиться зносити цілу систему. Однак згодом ці сервіси знову проникають на комп’ютер. Тому для повного видалення усіх програм-шкідників необхідно здійснити цілий комплекс дій, що буває проблематично навіть для просунутих користувачів.
Як mail.ru проникає у комп’ютер
Часто продукти однієї компанії рекламуються і поширюються за допомогою продуктів інших компаній. Так роблять багато відомих брендів (Google, Microsoft, Adobe). Але якщо продукти добросовісних компаній легко можна не встановлювати, лише прибравши галочку при установці, то mail.ru зазвичай встановлює свої сервіси без згоди, чим суттєво ускладнює життя користувачам, оскільки змінює звичні налаштування комп’ютера.
Допомагає йому в цьому сервіс GuardMail.ru, який, без сумніву, можна назвати «троянським конем», оскільки саме завдяки йому стягуються і встановлюються решта продуктів компанії:
• Спутник@mail.ru – панель інструментів, яка засмічує вигляд браузерів;
• Поиск@mail.ru (go.mail.ru) – пошуковий агент у браузерах;
• Агент@mail.ru – програма для голосового та відеоспілкування;
• ICQ – чат-месенджер, яким мало хто зараз користується;
Однак, як і в будь-якій хворобі, краще профілактика, аніж складне лікування.
Як запобігти зараженню
Щоб ця гидота не потрапила на ваш ПК чи ноутбук, варто дотримуватися чітких правил:
- Намагайтеся не встановлювати невідомий софт;
- Якщо все ж є потреба встановити малознайому чи навіть добре відому програму, уважно читайте, що вам пропонують разом з нею;
- Під час встановлення обирайте вибіркову установку, а не швидку, яку за замовчуванням «рекомендують». Саме тут криється небезпека, оскільки так звана «швидка установка» означає, що ви даєте дозвіл на встановлення усього, що пропонує безкоштовна програма, тобто Guard Mail ru, Яндекс Бар та інша гидота.
Як вичистити комп’ютер від шкідника повністю
Якщо ваш комп’ютер все ж заразився, а операційну систему поміняти дуже проблематично, пропонуємо покрокову інструкцію.
1. Деінстальовуємо усі сервіси mail.ru (окрім Guard@Mail.ru): агент Mail.ru, ICQ, браузер «Інтернет», Супутник і все інше. Зокрема, потрібно зайти в меню «Пуск» – «Панель управління» – «Програми» – «Видалення програм».
2. Вивантажуємо Guard.Mail.Ru. Тиснемо Win+R, прописуємо команду «sc delete Guard.Mail.Ru». Або так – на піктограмі «Комп'ютер» натискаємо праву клавішу миші, обираємо «Управління», переходимо в «Служби», де знаходимо Guard.mail.ru та зупиняємо службу.
3. Заходимо у «Диспетчер завдань» (поєднання клавіш Alt + Ctrl + Del або Ctrl + Shift + Esc на клавіатурі) і знаходимо сервіс guardmailru.exe, правою клавішею миші «завершуємо процес».
5. Через меню «Пуск - Знайти програми та файли» знаходимо все, що пов'язано з mail.ru. Усі виявлені папки та файли видаляємо.
6. Очищуємо реєстр від усіх записів mail.ru. Тиснемо Win+R, вводимо «regedit». У вікні редактора реєстру обираємо «Правка — Знайти» і пишемо «mail.ru». Видаляємо усі розділи, пов’язані з цим запитом. Таких розділів може бути декілька, тому після видалення першого необхідно натиснути клавішу F3, щоб перейти до наступного.
============================================
Кібершпигун атакує спецслужби України
Компанія ESET — лідер у галузі проактивного
виявлення — повідомляє про розкриття масштабної кібератаки з
використанням шпигунського програмного забезпечення Win32/Potao,
націленої на уряд та військові відомства України. Розслідування
показало, що шкідлива кампанія з використанням даної загрози триває вже
чотири роки.
Шкідливе сімейство Potao відноситься до троянських
програм, призначених для крадіжки паролів та конфіденційної інформації, а
також пересилання отриманих даних на віддалений сервер. Таким чином,
загроза Win32/Potao представляє собою потужний інструмент для
кібершпіонажу. Атаки, які здійснюються за допомогою даного програмного
забезпечення, відносяться до типу постійних загроз підвищеної складності
(Advanced Persistent Threat) та використовуються злочинцями для
здійснення масштабних цілеспрямованих кіберкампаній.
Найбільша кількість заражень була виявлена в Україні, а також інших країнах СНД, у тому числі Росії, Грузії та Білорусії.
Перші атаки з використанням Potao були здійснені ще в
2011 році. Потенційні жертви отримували SMS-повідомлення зі шкідливим
посиланням, перехід за яким запускав завантаження вірусу. На той час
загроза залишилась поза увагою. У 2014-2015 роках, згідно з даними ESET
LiveGrid, кількість заражень значно збільшилася. На думку експертів
ESET, підвищення активності даної загрози пов'язане з оновленням
механізму зараження — тепер шпигунська програма може здійснювати атаку,
використовуючи змінні USB-носії, а також маскуватися під документи Word
та Excel.
У 2014 році «Операція Potao» почала активно
розгортатися в Україні, за принципом вже відомої загрози BlackEnergy, а в
березні 2015 року спеціалісти ESET виявили зразки даної шкідливої
програми на деяких стратегічних об'єктах, включаючи уряд, військові
структури та велике інформаційне агентство. Атаки здійснювались за
допомогою фішингових повідомлень електронної пошти зі шкідливими
вкладеннями —файлами під виглядом документів Microsoft Word з назвами,
які привертали увагу.
Також в ході розслідування експертами ESET було
виявлено, що Potao використовується для здійснення шпигунства за членами
МММ — фінансовий піраміди, популярної в Росії та Україні.
Крім того, спеціалісти ESET виявили ще один цікавий
факт про Win32/Potao. Був виявлений зв'язок з TrueCrypt — безкоштовною
програмою для шифрування даних. У деяких випадках з ресурсу
truecryptrussia.ru користувачі завантажували заражений додаток, який
містив в собі бекдор для здійснення цілеспрямованої атаки. Оскільки інші
зразки програми не були інфіковані, можна зробити висновок, що
кіберзлочинці вибирали жертв за певними критеріями. Продукти ESET
виявляють дану загрозу як Win32/FakeTC. За даними зі звіту ESET,
російський ресурс truecryptrussia.ru також виступав у ролі сервера для
управління та контролю за бекдором (С&С).
20 липня 2015 року в Грузії була виявлена нова атака
Potao, під час якої інфікування здійснювалось вже за допомогою
pdf-файлу. Це говорить про те, що дана кібергрупа активно продовжує свою
шкідливу діяльність. У зв'язку з цим спеціалісти ESET настійно
рекомендують користувачам бути дуже обережними, не відкривати підозрілі
вкладення та не переходити за посиланнями, отриманими з невідомих
джерел, а також використовувати надійні комплексні антивірусні рішення.
Глибоке зараження: 5 загроз, що проникають в залізо
Ми звикли ділити IT-безпеку на дві нерівні половинки з заліза і софта. Залізо зазвичай вважається відносно чистим і «безгрішним» - на противагу софту, напханий багами і кишить зловредів.
Довгий час така система цінностей працювала непогано, але за останні роки почала давати все більше збоїв. Тепер уразливості нерідко знаходять вже й у мікропрограм, керуючих окремими «залозками». Що найнеприємніше, традиційні засоби виявлення загроз в цьому випадку найчастіше безсилі.
Для ілюстрації цієї тривожної тенденції розглянемо п'ятірку небезпечних апаратних вразливостей, виявлених за останній час в начинці сучасних комп'ютерів.
Для ілюстрації цієї тривожної тенденції розглянемо п'ятірку небезпечних апаратних вразливостей, виявлених за останній час в начинці сучасних комп'ютерів.
1 місце: оперативна пам'ять
Перше
місце беззастережно посідає проблема з оперативною пам'яттю DDR DRAM,
яку принципово неможливо вирішити ніяким програмним патчем. Уразливість, що отримала назву Rowhammer, пов'язана ... з прогресом технологій виробництва чіпів.У міру того як мікросхеми стають компактніше, їх сусідні елементи все більше впливають один на одного. У сучасних чіпах пам'яті це може призводити до рідкісного ефекту
самовільного перемикання комірки пам'яті під дією електричного імпульсу
від сусідів.До
недавніх пір передбачалося, що цей феномен практично неможливо
використовувати в реальній атаці для отримання контролю над комп'ютером.
Однак команді дослідників вдалося таким чином отримати привілейовані права на 15 з 29 тестових ноутбуків.
Працює ця атака наступним чином. Для
забезпечення безпеки зміни в кожен блок оперативної пам'яті можуть
вносити тільки певна програма або процес операційної системи. Умовно кажучи, якийсь важливий процес працює всередині добре
захищеного будинку, а неблагонадійна програма - на вулиці, за вхідними
дверима.Однак
з'ясувалося, що якщо за вхідними дверима голосно тупати (швидко і часто
змінювати вміст комірок пам'яті), то дверний замок з високою
ймовірністю ламається. Такі вже замки ненадійні стали нині робити.Пам'ять новішого стандарту DDR4 і модулі з контролем парності (які коштують істотно дорожче) до цієї атаки несприйнятливі. І це хороша новина.Погана ж полягає в тому, що дуже багато сучасні комп'ютери зламати такий спосіб можна. І зробити з цим нічого не можна, єдине рішення - поголовна заміна використовуваних модулів пам'яті.
2 місце: жорсткі диски
Раз вже ми почали з оперативної пам'яті, було б несправедливо обійти стороною і жорсткі диски. Завдяки недавньому розслідування діяльності хакерської групи Equation, проведеним «Лабораторією Сколівська», ми тепер знаємо, що прошивка мікроконтролера вінчестерів теж може містити в собі багато цікавого.
Раз вже ми почали з оперативної пам'яті, було б несправедливо обійти стороною і жорсткі диски. Завдяки недавньому розслідування діяльності хакерської групи Equation, проведеним «Лабораторією Сколівська», ми тепер знаємо, що прошивка мікроконтролера вінчестерів теж може містити в собі багато цікавого.
Наприклад, шкідливі модулі, що перехоплюють управління диском і працюють фактично в «режимі Бога». Вилікувати жорсткий диск після такого впровадження неможливо: «зіпсована» хакерами мікропрограма вінчестера просто приховує області диска, в які записується основна частина шкідливого ПО, і блокує спроби замінити саму микропрограмму. І форматування не допоможе: все, що можна зробити, - це знищити заражений диск фізично.
Гарна новина полягає в тому, що така атака - вкрай трудомістка і дорогий захід. Тому переважній більшості користувачів дана небезпека не загрожує - тільки особливим щасливчикам, чиї дані настільки цінні, що їх крадіжка здатна окупити витрати.
3 місце: інтерфейс USB
На третьому місці в нашому хіт-параді вже не дуже свіжа, але як і раніше актуальна уразливість інтерфейсу USB. Зовсім недавно нове життя в цю тему вдихнула сучасна комп'ютерна мода. Справа в тому, що останні моделі ноутбуків Apple MacBook і Google
Pixel оснащені універсальним портом USB, через який в числі іншого
підключається і зарядний пристрій.На перший погляд нічого поганого тут немає, всього лише красива уніфікація інтерфейсів. Проблема в тому, що підключення будь-якого пристрою через шину USB - справа небезпечна. Ми вже писали про критичну уразливість BadUSB, виявленої влітку минулого року.
Вона дозволяє впровадити шкідливий код безпосередньо в мікроконтролер USB-пристрої (флешки, клавіатури і будь-якого іншого пристрою) - там, де його не виявить, на жаль, жодна антивірусна програма, навіть найкраща. Тим, кому є що втрачати, експерти з безпеки радять на всякий пожежний просто не користуватися USB-портами. Ось тільки для нових макбуки така рекомендація нереалізована в принципі - зарядку ж потрібно підключати!
Скептики можуть заперечити, що в стандартному блоці живлення шкідливий код не запишеш, бо нікуди. Але це біда виправна: при бажанні зарядку можна «творчо доопрацювати» (аналогічна задача по інфікування iPhone через зарядний пристрій була вирішена вже більше двох років тому)
Далі залишається тільки стратегічно грамотно помістити таке «троянське харчування» для публічного використання в якому-небудь публічному місці. Або підмінити зарядку жертви, якщо мова йде про адресну атаці.
4 місце: інтерфейс Thunderbolt
Четверте місце в чарті займає теж «портова» вразливість, тільки пов'язана з іншим інтерфейсом - Thunderbolt. Виявляється, підключення через нього також вельми небезпечно. Відповідний сценарій атаки для пристроїв під управлінням Mac OS X
продемонстрував наприкінці минулого року дослідник в галузі безпеки
Тремелл Хадсон.Створений
ним буткіт Thunderstrike (до речі, перший буткіт для яблучної
операційної системи) використовує функцію завантаження додаткових
модулів прошивки з зовнішніх пристроїв. Thunderstrike
підміняє ключі цифрових підписів в BIOS, які використовуються для
перевірки оновлень, після чого з комп'ютером можна творити все що
заманеться.
Після публікації дослідження Хадсона Apple заблокувала можливість такої атаки в оновленні операційної системи (OS X 10.10.2). Правда, за словами Хадсона, цей патч - всього лише тимчасове рішення. Принципова основа уразливості раніше залишається недоторканою, так що історія явно чекає продовження.
5 місце: BIOS
Колись кожен розробник BIOS для материнських плат ПК використовував власні рецепти, які трималися в секреті. Розібратися в пристрої таких мікропрограм було дуже непросто, а значить, мало який хакер був здатний виявити в них баги.З поширенням UEFI неабияка частина коду для різних платформ стала
загальною, і це здорово полегшило життя не тільки виробникам комп'ютерів
і розробникам BIOS, але і творцям зловредів.Наприклад,
одна з недавніх вразливостей UEFI-систем дозволяє перезаписати вміст
BIOS, незважаючи на всі хитрощі захисту, включаючи новомодну функцію
Secure Boot в Windows 8. Помилка допущена в реалізації стандартної
функції, тому працює в багатьох версіях BIOS різних виробників.
Більшість описаних вище загроз поки залишаються якоюсь екзотикою, з якою рядові користувачі навряд чи зіткнуться. Однак завтра ситуація може докорінно змінитися - можливо, скоро ми з розчуленням будемо згадувати старі добрі часи, коли найнадійнішим способом лікування зараженого комп'ютера вважалося форматування жорсткого диска.
================================================
Злом очей і рук робота-хірурга
Як повідомляє MIT Technology Review, група експертів з ІТ-безпеки зламала і взяла під контроль робота, створеного для проведення віддаленої хірургії.
================================================
Як позбутися шифрувальника CoinVault і відновити свої файли
Якщо ви хочете дізнатися більше про сам шифрувальник CoinVault, то у нас є детальний звіт на Securelist - дослідники «Касперського» стежать за діяльністю цього зловреда вже багато місяців. Якщо вам цікаво, як наші експерти створювали інструмент для відновлення файлів, то знову-таки у нас є детальний пост в блозі. Тут же ми розповімо про те, як позбутися від зарази і відновити викрадені CoinVault файли.
Крок 1. Переконайтеся, що ваш комп'ютер заражений саме CoinVault
Насамперед слід переконатися, що ваші файли зашифрував саме CoinVault, а не який-небудь інший шифрувальник-вимагач, яких існує безліч. Зробити це досить просто: якщо ваш комп'ютер заражений CoinVault, то ви повинні бачити таку картинку:
Насамперед слід переконатися, що ваші файли зашифрував саме CoinVault, а не який-небудь інший шифрувальник-вимагач, яких існує безліч. Зробити це досить просто: якщо ваш комп'ютер заражений CoinVault, то ви повинні бачити таку картинку:
Крок 2. Збережіть адресу гаманця BitcoinЗнайдіть у правому нижньому куті вікна CoinVault рядок «Адреса гаманця Bitcoin» (Bitcoin wallet address). На наведеній вище зображенні вона виділена чорним. Збережіть або запишіть цю адресу - це дуже важливо.
Крок 3. Збережіть список зашифрованих файлівУ верхньому лівому кутку вікна знайдіть кнопку «Показати список зашифрованих файлів» (View encrypted filelist), на нашому скріншоті вона виділена блакитним. Натисніть цю кнопку і збережіть список у файл.
Крок 4. Видаліть CoinVaultПерейдіть на https://kas.pr/kismd-cvault і завантажте пробну версію Kaspersky Internet Security. Встановіть її та видаліть CoinVault з вашого комп'ютера. Обов'язково переконайтеся, що ви зберегли всі дані, отримані на кроках 2 і 3.
Крок 5. Перевірте свою адресу на https://noransom.kaspersky.com На https://noransom.kaspersky.com необхідно ввести адресу гаманця Bitcoin, який ви дізналися на другому кроці. Якщо ця адреса входить в список відомих нашому дешіфровщіков, то на екрані з'являться IV і Key. У деяких випадках можуть з'явитися кілька пар IV + Key. Обов'язково збережіть всі пари, вони знадобляться на наступних етапах.
Крок 3. Збережіть список зашифрованих файлівУ верхньому лівому кутку вікна знайдіть кнопку «Показати список зашифрованих файлів» (View encrypted filelist), на нашому скріншоті вона виділена блакитним. Натисніть цю кнопку і збережіть список у файл.
Крок 4. Видаліть CoinVaultПерейдіть на https://kas.pr/kismd-cvault і завантажте пробну версію Kaspersky Internet Security. Встановіть її та видаліть CoinVault з вашого комп'ютера. Обов'язково переконайтеся, що ви зберегли всі дані, отримані на кроках 2 і 3.
Крок 5. Перевірте свою адресу на https://noransom.kaspersky.com На https://noransom.kaspersky.com необхідно ввести адресу гаманця Bitcoin, який ви дізналися на другому кроці. Якщо ця адреса входить в список відомих нашому дешіфровщіков, то на екрані з'являться IV і Key. У деяких випадках можуть з'явитися кілька пар IV + Key. Обов'язково збережіть всі пари, вони знадобляться на наступних етапах.
Крок 6. Завантажте програму-дешифрувальник
Завантажте дешифрувальник на сторінці https://noransom.kaspersky.com і запустіть його. Якщо ви отримаєте повідомлення про помилку, то виконайте крок 7. Якщо програма нормально запускається, то пропустіть крок 7 і перейдіть відразу до кроку 8.
Завантажте дешифрувальник на сторінці https://noransom.kaspersky.com і запустіть його. Якщо ви отримаєте повідомлення про помилку, то виконайте крок 7. Якщо програма нормально запускається, то пропустіть крок 7 і перейдіть відразу до кроку 8.
Крок 7. Завантажте та встановіть додаткові бібліотеки
Перейдіть по посиланню http://www.microsoft.com/en-us/download/details.aspx?id=40779 і дотримуйтесь інструкцій. Після цього встановіть нашу програму.
Перейдіть по посиланню http://www.microsoft.com/en-us/download/details.aspx?id=40779 і дотримуйтесь інструкцій. Після цього встановіть нашу програму.
Крок 8. Запустіть дешифрувальник
Після запуску має з'явитися ось таке вікно:
Після запуску має з'явитися ось таке вікно:
Крок 9. Перевірте, чи коректно працює дешифруванняПри першому запуску дешіфровщіка ми радимо для початку перевірити, чи все працює як слід. Для цього зробіть наступне:
Натисніть кнопку «Вибрати файл» (Select file) в полі «Дешифровка одного файлу» (Single File Decryption) і виберіть той файл, на якому ви хочете провести перевірку.
Введіть отриманий на нашій сторінці IV у відповідне поле.
Введіть отриманий на нашій сторінці Key у відповідне поле.
Натисніть кнопку «Start».Знайдіть відновлений файл і переконайтеся, що він відновлений коректно.Крок 10. Відновіть всі файли, зашифровані CoinVaultЯкщо на минулому етапі все пройшло нормально, ви можете відновити всі залишилися файли одним махом. Для цього виберіть список файлів, отриманий на кроці 3 введіть Key і IV і натисніть кнопку «Start». Щоб уникнути плутанини в папках, ви можете виділити опцію «Замінити зашифровані файли відновленими» (Overwrite encrypted file with decrypted contents).
Як позбутися шифрувальника CoinVault безкоштовно відновити свої файли
Якщо на кроці 5 ви отримали кілька пар Key + IV, то діяти слід обережно. На даний момент ми не впевнені на 100%, чому так відбувається. У цьому випадку ми рекомендуємо не вибирати опцію «Замінити зашифровані файли відновленими». Якщо якісь файли будуть відновлені коректно, ви можете спробувати
відновити їх, використовуючи інші пари Key + IV з отриманих вами.Якщо
на кроці 5 ви не отримали IV і Key, то вам слід почекати і ще раз
перевірити адресу гаманця Bitcoin на сторінці
https://noransom.kaspersky.com. Розслідування триває, і, як тільки нові ключі стають доступні, ми додаємо їх в нашу базу.
