UZCERT

Вирус представляет собой новую версию WannaCry (WNCRY) и называется «Wana Decrypt0r 2.0».
Есть несколько способов заразить им компьютер.
Вредоносное программное обеспечение может прийти по электронной почте или пользователь может случайно скачать его сам - например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но, основным вариантом все же являются письма, отправленные на электронную почту.
Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего вредоносным вложением являются файлы с расширениями js и exe, а также документы с вредоносными макросами (например, файлы Microsoft Word).


Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: таким образом данные, находящиеся на конкретном компьютере перестают быть доступными без ключа расшифровки. Доступ блокируется к системным файлам, документам, изображениям и даже музыке.
Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус постфактум блокирует приложение, файлы уже будут зашифрованы, и хотя программа будет недоступна, информация о блокировке будет размещена на экране рабочего стола - вместо обычных пользовательских обоев.
Жертве этой программы-вымогателя предлагается бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Злоумышленники предложат жертве приобрести «биткоины» и отправить указанную сумму на кошелёк.
Однако, пользователю никто не гарантирует, что даже после уплаты этого выкупа его устройство будет восстановлено.

Обновление

Угроза заражения WNCRY не затронет пользователей «macOS».
Но, обладателям компьютеров на операционной системе «Windows» следует побеспокоиться. Речь идёт о версиях «Windows» Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.
После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

Однако, несмотря на заверения Microsoft, мы рекомендуем следующие действия по удалению
Рекомендуемые действия по удалению

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению WNCRY.

Стоит включить безопасный режим с загрузкой сетевых драйверов. В семействе Windows это можно сделать при перезагрузке системы после нажатия клавиши F8.

Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако, чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами.

Последний шаг для обычного пользователя: восстановление зашифрованных файлов, которое следует выполнять только после удаления WNCRY. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также, например, утилиту Shadow Explorer (утилита вернёт теневые копии файлов и исходное состояние зашифрованных файлов).
И все-таки, эти способы не гарантируют полного восстановления файлов.

Комментарий и рекомендация от «Лаборатории Касперского»

Пресс-служба «Лаборатории Касперского» распространила официальное сообщение, в котором рассказала, что, по данным аналитиков компании, атака 12 мая 2017 г. происходила по всему миру.
Она осуществлялась, через известную уязвимость в Windows. «Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», - говорится в сообщении.
К этому моменту «Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах. Наибольшее число попыток заражений было замечено в России.

Для снижения риска заражения «Лаборатория Касперского» рекомендует установить выпущенный в марте 2017 г. официальный патч Microsoft, который закрывает используемую в атаке уязвимость.