12 травня приблизно о 13MSK розірвалася «бомба», почалося поширення вірусу Wana Decryptor. Практично за кілька годин були заражені десятки тисяч комп'ютерів по всьому світу. На даний момент підтверджено понад 45000 заражених комп'ютерів.
Зараження Wanna Cry вірусом шифрувальником піддалися комп'ютери як звичайних користувачів, так і робочі комп'ютери в різних організаціях, включаючи МВС Росії.
На жаль, але на поточний момент немає можливості розшифрувати WNCRY файли, але можна спробувати використовуючи такі програми як ShadowExplorer і PhotoRec.
Як правильно називати цей вірус шифрувальник Wana Decryptor, WanaCrypt0r, Wanna Cry або Wana Decrypt0r?
З моменту першого виявлення вірусу, в мережі з'явилося вже багато різних повідомлень про цей вірус шифрувальником і часто його називають різними іменами. Це сталося з кількох причин. Перед тим як з'явився сам Wana Decrypt0r вірус, була його перша версія Wanna Decrypt0r, основною відмінністю якої від поточної (2.0) був спосіб поширення. Цей перший варіант не отримав такої широкої популярності, як його молодший брат, але завдяки цьому, в деяких новинах, новий вірус шифрувальник називають по імені його старшого брата, а саме Wanna Cry, Wanna Decryptor.
Але все ж основним ім'ям є Wana Decrypt0r, хоча більшість користувачів замість цифри «0» набирають букву «o», що приводить нас до імені Wana Decryptor або WanaDecryptor.
І останнім ім'ям, яким часто називають цей вірус-шифрувальник користувачі - це WNCRY вірус, тобто по розширенню, яке додається до імені файлів, які зазнали шифрування.
Як Wana Decryptor проникає на комп'ютер?
Причиною швидкого поширення Wana Decrypt0r шифрувальника є наявність уразливості в службі SMB операційної системи Windows. Ця вразливість є у всіх сучасних версія Windows, від Windows 7 до Windows 10. Ще 14 березня 2017 року було випущено оновлення «MS17-010: Оновлення безпеки для Windows SMB Server» (посилання), але як показує швидкість поширення вірусу, це оновлення було встановлено далеко не на всі комп'ютери.
Тому, якщо ви ще не встановили оновлення MS17-010, то зробити це потрібно якомога швидше! Wana Decrypt0r поширюється просто з шаленою швидкістю, і без цього патча ваш комп'ютер стає абсолютно відкритим для зараження.
Як WanaDecryptor зашифровує файли на комп'ютері?
При своєму запуску WNCRY вірус шифрувальник насамперед розпаковує свій інсталятор, в якому знаходяться такі файли:
b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry
Після чого дістає з архіву повідомлення про викуп на тій мові, який використовує користувач комп'ютера. На даний момент Wana Decrypt0r підтримує наступні мови:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese
Далі WanaCrypt0r вірус завантажує TOR браузер, який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконаний, вірус виконує команду, за допомогою якої встановлює повний доступ до всіх доступних каталогів і файлів. Це необхідно для того, щоб зашифрувати якомога більше файлів на зараженому комп'ютері.
На наступному етапі WanaDecryptor завершує процеси з наступними іменами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange *, Microsoft.Exchange. *, Щоб зашифрувати і всі бази даних знаходяться на інфікованому комп'ютері.
Закінчивши описані вище підготовчі етапи, вірус переходить вже до самого процесу шифрування. У його процесі шифруються файли з наступними розширеннями:
Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat,. vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes,. gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx,. doc
До речі, виходячи зі списку розширень, в якому не присутній розширення для популярної в Росії програми 1С, можна зробити висновок, що найімовірніше вірус був створений не російськими програмістами.
Коли який-небудь файл зашифрований, до його імені додається розширення «.WNCRY». Тобто, якщо до зашифровуваної файл мав ім'я «картінка.bmp», то після того як файл зашифрований, його ім'я буде змінено на «картінка.bmp.WNCRY».
Коли всі файли в каталозі зашифровані, вірус шифрувальник поміщає в цей же каталог ще пару файлів, це @ [Email protected] - містить інструкцію по-розшифровці файлів і @ [Email protected] - дешифровщик зашифрованих файлів.
На заключному етапі своєї роботи, WanaDecryptor вірус намагається видалити тіньові копії всіх файлів та інші можливості відновити файли, які раніше були зашифровані. Так як ця операція вимагає повних прав, то операційна система показує попередження від служби UAC. У разі, якщо користувач відповість відмовою, то тіньові копії файлів не будуть видалені і з'явиться можливість повністю відновити зашифровані файли абсолютно безкоштовно. Підтвердженням цьому є кілька повідомлень від користувачів на форумі фан клубу антивіруса Касперського.
Як відновити зашифровані WNCRY файли?
Як вже було сказано раніше, єдина можливість безкоштовно повернути свої файли, які були зашифровані WanaDecryptor вірусом шифрувальником - це використовувати спеціальні програми, такі як ShadowExplorer і PhotoRec. Детально процес їх використання описаний в цьому посібнику.
Якщо у вас виникли питання або ваш потрібна допомога, то можете створити нову тему на нашому форумі або залишити коментар нижче.
Як запобігти зараженню комп'ютера вірусом-шифрувальником Wana Decryptor?
Спочатку вам необхідно закрити уразливість в операційній системі, встановивши оновлення MS17-010, посилання на яке ви можете знайти на початку цієї статті. Якщо встановити оновлення неможливо, значить вимкніть використання протоколу SMBv1 (Як включити і відключити SMBv1, посилання) або в файрвола заблокуйте вхідні з'єднання на порт 445.
Для організації повноцінного захисту комп'ютера вам необхідні, як мінімум безкоштовний антивірус (дивіться цю статтю) і програма для боротьби з шкідливим ПЗ (дивіться цю статтю). Ми рекомендуємо використовувати Zemana Anti-malware або Malwarebytes. Повні версії цих програм так само включають додатковий модуль, який блокує запуск вірусів шифрувальників.
Збору інформації.
12 травня почалася епідемія шкідливого ПО Wana Decryptor який шифрує дані на комп'ютері користувача.
Як Wana Decryptor заражає комп'ютери користувачів?
Wana Decrypt0r використовує уразливість в службі SMB операційної системи Windows. Ця вразливість є у всіх сучасних версіях Windows, від Windows 7 до Windows 10.
Дана уразливість закривається патчем MS17-010 (Оновлення безпеки для Windows SMB Server) який був ще випущений 14 березня 2017 (Якщо у вас відключено автоматичне оновлення, то встановіть патч вручну)
Завантажити виправлення безпеки.
Як працює Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for "@ [Email protected]"
При першому запуску шкідливий витягує файл в ту ж папку, що і установник. Файл представляє собою запаролений архів 7zipфайли з якого використовуються в роботі шкідливого ПО
У повідомленні про викуп використовується той же мова, яка використовує користувач комп'ютера. На даний момент Wana Decrypt0r підтримує наступні мови:
далі WanaCrypt0r викачує TOR браузер (Download Tor) який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконаний, вірус виконує команду, за допомогою якої встановлює повний доступ до всіх доступних каталогів і файлів.Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,
CMD / BATCH:
Icacls. / Grant Everyone: F / T / C / Q
Це необхідно для того, щоб зашифрувати якомога більше файлів на зараженому комп'ютері.
А так же намагається завершити наступні процеси:
CMD / BATCH:
Taskkill.exe / f / im mysqld.exe taskkill.exe / f / im sqlwriter.exe taskkill.exe / f / im sqlserver.exe taskkill.exe / f / im MSExchange * taskkill.exe / f / im Microsoft.Exchange. *
Це дозволить зашифрувати бази даних.
Вимагач шифрує файли з наступними розширеннями
код:
Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat,. vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes,. gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx,. doc
Зашифровані файли мають додаткове розширення WNCRYпісля стандартного 
Після шифрування файлів каталозі додаються два файли:
- @[Email protected] - повідомлення вимагача
- @[Email protected] - дешифровщик
CMD / BATCH:
C: \\ Windows \\ SysWOW64 \\ cmd.exe / c vssadmin delete shadow / all / quiet & wmic shadowcopy delete & bcdedit / set (default) boostatuspolicy ignoreallfailures & bcdedit / set (default) recoveryenabled no & wbadmin delete catalog -quiet
!! При спробі виконати команди очищення спрацює запит UAC і якщо відповісти НІ, то команда не буде виконано, що дає високі шанси відновити інформацію.Якщо у вас відключений UAC (наприклад, якщо у вас серверна OS), то прийміть мої співчуття.
Коли користувач натиснув на кнопку перевірити платіж, то вимагач підключиться серверів TOR C2, щоб перевірити, чи був здійснений платіж. Якщо платіж був здійснений, то файли будуть розшифровані в автоматичному режимі, якщо платіж не був проведений, ви побачите відповідь, аналогічний наведеному нижче.
Як розшифрувати файли після WanaCrypt0r?
Якщо в запиті UAC ви відповіли ні, то допоможе. Так само допоможе програма ShadowExplorer.
На даний момент немає можливості розшифрувати файли без допомоги зловмисників якщо очищено тіньових копій.
Як запобігти зараженню шифрувальником-здирником?
- Абсолютного захисту не існує.
- Не вимикайте автоматичне оновлення Windows, це дозволить оперативно (більш-менш) закривати уразливості OS.
- Використовуйте антивірус або будьте готові до ліквідації наслідків.
- Не довіряйте нікому в мережі, не відчиняйте неперевірені файли які ви отримали без антивірусної перевірки.
- Використовуйте резервне копіювання, і чим важливіше інформація тим більше уваги приділяйте питання збереження копій.
WannaCry - спеціальна програма, яка блокує всі дані в системі і залишає користувачеві тільки два файли: інструкцію про те, що робити далі, і саму програму Wanna Decryptor - інструмент для розблокування даних.
Більшість компаній, що займаються комп'ютерною безпекою, мають інструменти дешифрування викупу, які можуть обходити програмне забезпечення. Для простих смертних спосіб «лікування» поки невідомий.
WannaCry Decryptor (або WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),вже називають «вірусом 2017 року». І зовсім небезпідставно. Тільки за перші 24 години з моменту початку свого поширення - даний шифрувальник вразив більше 45000 комп'ютерів. Деякі ж дослідники вважають що на даний момент (15 травня) заражено вже більше мільйона комп'ютерів і серверів. Нагадаємо, що вірус почав розповсюджуватися 12 травня. Першими постраждали користувачі з Росії, України, Індії та Тайваню. На даний же момент вірус з великою швидкістю поширюється в Європі, США і Китаї.
Була зашифрована інформація на комп'ютерах і серверах державних установ (зокрема МВС Росії), госпіталів, транснаціональних корпорацій, університетів і шкіл.
Wana Decryptor (Wanna Cry або Wana Decrypt0r) паралізував роботу сотень компаній і держустанов у всьому світі
По суті WinCry (WannaCry) - це експлоїт сімейства EternalBlue, який використовує досить-таки стару вразливість операційної системи Windows (Windows XP, Windows Vista, Windows 7, Windows 8 і Windows 10) і в «тихому» режимі завантажує себе в систему. Після чого за допомогою стійких до розшифровки алгоритмів шифрує дані користувачів (документи, фото, відео, електронні таблиці, бази даних) і вимагає викуп за розшифровку даних. Схема не нова, ми постійно пишемо про нові різновиди шифрувальників файлів - але ось метод поширення новий. І це призвело до епідемії.
Як працює вірус
Шкідлива програма сканує в Інтернеті вузли в пошуках комп'ютерів з відкритим TCP-портом 445, який відповідає за обслуговування протоколу SMBv1. Виявивши такий комп'ютер, програма робить кілька спроб проексплуатувати на ньому уразливість EternalBlue і, в разі успіху, встановлює бекдор DoublePulsar, через який завантажується і запускається виконуваний код програми WannaCry. При кожній спробі експлуатації шкідлива програма перевіряє наявність на цільовому комп'ютері DoublePulsar, і в разі виявлення завантажується безпосередньо через цей бекдор.
До речі, дані шляху не відслідковуються сучасними антивірусними програмами, що і зробило зараження настільки масовим. І це величезний камінь в город розробників антивірусного ПО. Як можна було таке допустити? Ви за що гроші берете?
Після запуску шкідлива програма діє як класична програма-вимагач: вона генерує унікальну для кожного інфікованого комп'ютера пару ключів асиметричного алгоритму RSA-2048. Потім, WannaCry починає сканувати систему в пошуках призначених для користувача файлів певних типів, залишаючи критичні для подальшого її функціонування недоторканими. Кожен відібраний файл шифрується за алгоритмом AES-128-CBC унікальним (випадковим) для кожного з них ключем, який в свою чергу шифрується відкритим RSA-ключем інфікованої системи і зберігається в заголовку зашифрованого файлу. При цьому до кожного зашифрованого файлу додається розширення .wncry. Пара RSA-ключів інфікованої системи шифрується відкритим ключем зловмисників і відправляється до них на сервери управління, розташовані в мережі Tor, після чого всі ключі з пам'яті інфікованої машини видаляються. Завершивши процес шифрування, програма виводить на екран вікно з вимогою перевести певну суму в біткоіни (еквівалентну 300 доларам США) на вказаний гаманець протягом трьох днів. Якщо викуп не надійде вчасно, то його сума буде автоматично подвоєна. На сьомий день, якщо WannaCry НЕ буде видалений з інфікованою системи, зашифровані файли знищуються. Повідомлення виводиться на мові, відповідному встановленому на комп'ютері. Всього програмою підтримується 28 мов. Паралельно з шифруванням програма проводить сканування довільних адрес Інтернету і локальної мережі для подальшого зараження нових комп'ютерів.
Згідно з дослідженням компанії Symantec, алгоритм відстеження зловмисниками індивідуальних виплат кожної жертви і відправки їй ключа для розшифровки реалізований з помилкою стану гонки. Це робить виплати викупу безглуздими, оскільки індивідуальні ключі в будь-якому разі не будуть надіслані, а файли так і залишаться зашифрованими. Однак існує надійний метод розшифрувати призначені для користувача файли розміром менше 200 МБ, а також деякі шанси відновити файли більшого розміру. Крім того, на застарілих системах Windows XP і Windows Server 2003 через особливості реалізації в системі алгоритму обчислення псевдовипадкових чисел навіть можливо відновити закриті RSA-ключі і розшифрувати всі постраждалі файли, якщо комп'ютер не перезавантажувався з моменту зараження. Пізніше група французьких експертів з кібербезпеки з компанії Comae Technologies розширила цю можливість до Windows 7 і реалізувала її на практиці, опублікувавши у відкритому доступі утиліту WanaKiwi, Що дозволяє розшифрувати файли без викупу.
У коді ранніх версій програми був передбачений механізм самознищення, так званий Kill Switch, - програма перевіряла доступність двох певних Інтернет-доменів і в разі їх наявності повністю віддалялася з комп'ютера. Це 12 травня 2017 року відразу виявив Маркус Хатчинс (Англ.)рос. , 22-річний вірусний аналітик британської компанії Kryptos Logic, пише в Twitter'е під ніком @MalwareTechBlog, і зареєстрував один з доменів на своє ім'я. Таким чином, йому вдалося тимчасово частково заблокувати поширення даної модифікації шкідливої \u200b\u200bпрограми. 14 травня було зареєстровано і другий домен. У наступних версіях вірусу даний механізм самоотключения був видалений, проте це було зроблено не в вихідному програмному коді, а шляхом редагування файлу, що дозволяє припускати, походження даного виправлення не від авторів оригінальної WannaCry, а від сторонніх зловмисників. В результаті був пошкоджений механізм шифрування, і дана версія хробака може тільки поширювати себе, знаходячи вразливі комп'ютери, але не здатна завдавати їм безпосередній шкоду.
Висока швидкість поширення WannaCry, унікальна для програми-здирника, забезпечується використанням опублікованій в лютому 2017 року уразливості мережевого протоколу SMB операційної системи Microsoft Windows, описаної в бюлетені MS17-010. Якщо в класичній схемі програма-вимагач потрапляла на комп'ютер завдяки діям самого користувача через електронну пошту або веб-посилання, то в разі WannaCry участь користувача повністю виключено. Тривалість часу між виявленням уразливого комп'ютера і повним його зараженням становить близько 3 хвилин.
Компанією-розробником підтверджено наявність уразливості абсолютно у всіх призначених для користувача і серверних продуктах, що мають реалізацію протоколу SMBv1 - починаючи з Windows XP / Windows Server 2003 і закінчуючи Windows 10 / Windows Server 2016. 14 березня 2017 року Microsoft випустила серію оновлень, покликаних нейтралізувати уразливість у всіх підтримуваних ОС. Після поширення WannaCry компанія пішла на безпрецедентний крок, випустивши 13 травня також поновлення для продуктів з вичерпаним терміном підтримки (Windows XP, Windows Server 2003 і Windows 8).
Поширення вірусу WannaCry
Вірус може поширюватися різними способами:
- Через єдину комп'ютерну мережу;
- Через пошту;
- Через браузер.
Особисто, мені не зовсім зрозуміло, чому мережу не сканується антивірусом. Такий же спосіб зараження, як через відвідування сайту або браузер - доводить безпорадність розробників і те, що запитувані кошти на ліцензійне ПЗ для захисту ПК нічим не виправдані.
Симптоми зараження і лікування вірусу
Після успішної установки на ПК користувача WannaCry намагається поширюватися по локальній мережі на інші ПК, як черв'як. Зашифровані файли отримують системне расшіреніе.WCRY і стають повністю нечитабельним і розшифрувати їх самостійно не надається можливим. Після повного шифрування Wcry змінює шпалери на робочий стіл і залишає «інструкції» по розшифровці файлів в папках з зашифрованими даними.
Спочатку хакери вимагали $ 300 за ключі розшифровки, але потім підняли цю цифру до $ 600.
Як застерегти зараження вашого ПК шифрувальником WannaCry Decryptor?
Завантажити оновлення операційної системи з сайту Microsoft.
Що робити есчи Ваш ПК заражений?
Використовуйте інструкції нижче для того щоб спробувати відновити хоча-б частину інформації на зараженому ПК. Оновлення антивірус і встановіть патч операційної системи. Расшифровщика на цей вірус поки не існує в природі. Ми настійно не рекомендуємо платити зловмисникам викуп - ніяких, навіть найменших, гарантій того, що вони розшифрують ваші дані, отримавши викуп, немає.
Видалити шифрувальник WannaCry за допомогою автоматичного чистильника
Виключно ефективний метод роботи з шкідливим ПО взагалі і програмами-вимагачами зокрема. Використання зарекомендував себе захисного комплексу гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, мова йде про двох різних процесах: деінсталяції інфекції та відновлення файлів на Вашому ПК. Проте, загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців з її допомогою.
- Завантажити програму для видалення вірусу WannaCry . Після запуску програмного засобу, натисніть кнопку Start Computer Scan(Почати сканування). Завантажити програму для видалення шифрувальника WannaCry .
- Встановлене ПЗ надасть звіт по виявленим в ході сканування загрозам. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats (Усунути загрози). Розглядається шкідливий ПО буде повністю видалено.
Відновити доступ до зашифрованих файлів
Як було відзначено, програма-вимагач no_more_ransom блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи дійсно можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитися.
Програма автоматичного відновлення файлів (дешифратор)
Відомо досить неординарне обставина. Дана інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою вимагання, таким чином, націлений на їх копії. Це надає можливість таким програмних засобів як Data Recovery Proвідновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.
Тіньові копії томів
В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється в кожній точці відновлення. Важлива умова роботи даного методу: функція «Відновлення системи» повинна бути активована до моменту зараження. При цьому будь-які зміни в файл, внесені після точки відновлення, в відновленої версії файлу відображатися не будуть.
Резервне копіювання
Це найкращий серед всіх не пов'язаних з викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-здирника на Ваш комп'ютер, для відновлення зашифрованих файлів знадобитися просто увійти до відповідного інтерфейс, вибрати необхідні файли і запустити механізм відновлення даних з резерву. Перед виконанням операції необхідно упевнитися, що здирницькі ПО повністю видалено.
Перевірити можливу наявність залишкових компонентів вимагача WannaCry
Очищення в ручному режимі чревата упущенням окремих фрагментів здирницькі ПО, які можуть уникнути видалення у вигляді укритті об'єктів операційної системи або елементів реєстру. Щоб виключити ризик часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на образами ПО.
розшифровка
А ось інформації від оплатили розшифровку немає, як немає інформації про намір хакерів заспокоїти душу народу і дешифрувати інформацію після оплати ((((
Але на Хабре знайшлася інфа про принцип роботи кнопки Decrypt, а так само про те, що у зловмисників немає способу ідентифікації користувачів, що відправили битки, а значить постраждалим ніхто нічого відновлювати не буде:
«Криптор створює два типи файлів: спершу деяка частина шифрується з використанням 128-бітного AES, при цьому згенерований ключ для розшифровки дописується безпосередньо до кріптованному файлу. Файлів, зашифрованих у такий спосіб, криптор дає розширення .wncyr і саме їх потім розшифровує при натисканні на Decrypt. Основна ж маса закріптованного отримує розширення .wncryі там вже ключа немає.
При цьому шифрування йде не в самому файлі, а спершу на диску створюється файл, куди кладеться кріптованное вміст, а потім вихідний файл видаляється. Відповідно, протягом якогось часу є шанс відновити частину даних за допомогою різних undelete-утиліт.
Для боротьби з подібними утилітами, криптор постійно пише на диск всякий лівий сміття, так що місце на диску вижірает досить швидко.
А ось чому до цих пір немає ніякої інформації з приводу оплати та механізмів її перевірки, це дійсно дивує. Можливо, впливає досить пристойна сума ($ 300), яка потрібна для подібної перевірки. »
Творці вірусу WannaCry обійшли тимчасовий захист в вигляді безглуздого домену
Творці вірусу-здирника WannaCry, від якого постраждали комп'ютери в більш ніж 70 країнах, випустили його нову версію. У ній відсутня код для звернення до безглуздого домену, за допомогою якого вдалося запобігти поширенню оригінального вірусу, пише Motherboard. Видання отримало підтвердження про появу нової версії вірусу від двох фахівців, які вивчали нові випадки зараження комп'ютерів. Один з них - Костін Райю (Costin Raiu), керівник міжнародної дослідницької команди «Лабораторії Касперського».
Фахівці не уточнили, чи з'явилися в WannaCry будь-які інші зміни.
Май 2017 року увійде в аннали історії, як чорний день для служби інформаційної безпеки. У цей день світ дізнався, що безпечний віртуальний світ може бути крихким і уразливим. Вірус вимагач під назвою Wanna decryptor або wannacry захопив більше 150 тисяч комп'ютерів по всьому світу. Випадки зараження зафіксовані більш ніж в ста країнах. Звичайно, глобальне зараження було зупинено, але збиток обчислюється мільйонами. Хвилі поширення вірусу-здирника все ще розбурхують деякі окремі машини, але цю чуму поки зуміли стримати і зупинити.
WannaCry - що це таке і як від нього захиститися
Wanna decryptor відноситься до групи вірусів, які шифрують дані на комп'ютері та вимагають гроші у власника. Як правило, сума викупу своїх даних коливається в діапазоні від 300 до 600 доларів. За добу вірус він зумів заразити муніципальну мережу лікарень в Великобританії, велику телевізійну мережу в Європі і навіть частина комп'ютерів МВС Росії. Зупинили його завдяки щасливому збігу обставин зареєструвавши перевірки домен, який був вшитий в код вірусу його творцями, для ручної зупинки поширення.
Вірус заражає комп'ютер також, як і в більшості інших випадках. Розсилка листів, соціальні профілі і просто серфінг по суті - ці способи дають вірусу можливість проникнути в вашу систему і зашифрувати всі ваші дані, проте може проникнути і без ваших явних дій через вразливість системи і відкритий порт.
Пролазить WannaCry через 445 порт, використовуючи уразливість в операційній системі Windows, яка нещодавно була закрита випущеними оновленнями. Так що якщо даний порт у вас закритий або ви днями оновлювали Windows з оф. сайту, то можете не переживай про зараження.
Вірус працює за наступною схемою - замість даних в ваших файлах, ви отримуєте незрозумілі закарлючки на марсіанському мовою, а ось щоб знову отримати нормальний комп'ютер, доведеться заплатити зловмисникам. Ті, хто спустив цю чуму на комп'ютери простих людей, користуються оплатою біткоіни, так що обчислити власників злобного трояна не вдасться. Якщо не платите протягом доби, то сума викупу зростає.
Нова версія трояна перекладається як «Хочу плакати» і втрата даних може довести деяких користувачів до сліз. Так що краще вживати профілактичних заходів і не допускати зараження.
Шифрувальник використовує уразливість в системі Windows, яку компанія Microsot вже усунула. Потрібно просто оновити операційну систему до протоколу безпеки MS17-010 від 14 березня 2017 року.
До речі, оновитися можуть тільки ті користувачі, у яких варто ліцензована операційна система. Якщо ж ви до таких не належите, то просто скачайте пакет оновлень і встановіть його вручну. Тільки завантажувати потрібно з перевірених ресурсів, щоб не підхопити заразу замість профілактики.
Звичайно ж, захист може бути найвищого рівня, але багато що залежить і від самого користувача. Пам'ятайте, що не можна відкривати підозрілі посилання, які приходять до вас поштою або в соціальному профілі.
Як вилікувати вірус Wanna decryptor
Ті, чий комп'ютер вже заразився, повинні приготуватися до довгого процесу лікування.
Вірус запускається на комп'ютері користувача і створює кілька програм. Одна з них починає шифрувати дані, інша забезпечує зв'язок з вимагачами. На робочому моніторі з'являється напис, де вам пояснюють, що ви стали жертвою вірусу і пропонують швидше перерахувати гроші. При цьому, ви не можете відкрити жоден файл, а розширення складаються з незрозумілих літер.
Перша дія, яке намагається зробити користувач - це відновлення даних за допомогою вбудованих в Windows служб. Але при запуску команди, або нічого не відбудеться, або ваші старання пройдуть даремно - позбутися від Wanna Decryptor не так просто.
Один з найпростіших способів вилікувати вірус - це просто перевстановити систему. При цьому, ви втратите не тільки ті дані, які були на диску з встановленою системою. Адже для повного одужання потрібно буде провести форматування всього жорсткого диска. Якщо ви не готові на такі кардинальні кроки, то можна спробувати вилікувати систему вручну:
- Скачайте оновлення для системи, про який писалося вище в статті.
- Далі відключаємося від інтернету
- Запускаємо командний рядок cmd і блокуємо 445 порт, по якому вірус проникає на комп'ютер. Робиться це за допомогою такої команди:
netsh advfirewall firewall add rule dir \u003d in action \u003d block protocol \u003d tcp localport \u003d 445 name \u003d "Block_TCP-445" - Далі запускаємо систему в безпечному режимі. При завантаженні утримуємо F8, система сама запитає вас, як саме запустити комп'ютер. Потрібно вибрати «Безпечний режим».
- Знаходимо і видаляємо папку з вірусом, знайти її можна клікнувши по ярлику вірусу і натиснувши «Розташування файлу».
- Перезапускаємо комп'ютер в звичайному режимі і встановлюємо оновлення для системи яке ми завантажили, включаємо інтернет і встановлюємо його.
Wanna cry - як розшифрувати файли
Якщо ви повністю позбулися від усіх проявів вірусу, то саме час зайнятися розшифровкою даних. І, якщо ви думаєте, що найскладніше позаду, то ви сильно помиляєтеся. В історії навіть зареєстрований випадок, коли самі творці шифрувальника не змогли допомогти користувачеві, який їм заплатив і відправили його в службу технічної підтримки антивіруса.
Оптимальний варіант - це видалити всі дані і. Ось тільки, якщо такий копії немає, то доведеться покорпеть. А допоможуть вам програми дешифровщики. Правда, жодна програма не може гарантувати стовідсотковий результат.
Існує кілька простих програм, які можуть впоратися з розшифровкою даних - наприклад Shadow Explorer або Windows Data recovery. Так само варто заглянути в лабораторію Касперського, який періодично випускає декріптор - http://support.kaspersky.ru/viruses/utility
Дуже важливо! Запускайте програми декріптор тільки після того, як видалили всі прояви вірусу, інакше ризикуєте нашкодити системі або втратити дані знову.
Wanna decryptor показав, наскільки крихкою може бути система безпеки будь-якого великого підприємства або навіть державної установи. Так що травень місяць став показовим для багатьох країн. До речі, в МВС Росії постраждали тільки ті машини, які використовували Windows, а ось ті комп'ютери, на яких стояла операційна система російської розробки Ельбрус не постраждали.
А які способи лікування Wanna decryptor допомогли вам? Напишіть коментар до цієї статті і поділіться з іншими.
Підпишись на нові статті, що б не пропустити!
Якщо комп'ютер з операційною системою системі Windows не перезавантажувався, то дані та ньому можна зберегти минаючи викуп, необхідний вірусом WannaCry. Ключ до вирішення міститься в самій операційній системі, - заявляють фахівець з інтернет-безпеки Quarkslab Адрієн Гине, всесвітньо відомий хакер Метт Сюіш і фрілансер Бенжамен Дельпи. Сама система запобігає знищення файлів по закінченню терміну, призначеного для сплати викупу. Цей метод використовується у всіх версіях Windows. Новий інструмент для збереження даних фахівці назвали Wanakiwi. В своєму блозіМетт Сюіш опублікував подробиці застосування відкритого способу боротьби з вірусом, описавши всі технічні деталі.
Не всі файли не відновлюються
Це пояснює, чому були твердження, що деякі інструменти доступні для розшифровки всіх файлів, заблокованих WannaCry. На жаль, з нашого аналізу того, як працює це здирництво, здається, що тільки кілька файлів, зашифрованих демо-ключем, можуть бути розшифровані інструментом.
Але може бути якась надія. Файли, що зберігаються на робочому столі, Моїх документах або на будь-яких знімних дисках комп'ютера під час зараження, перезаписувати випадково згенерували даними і видаляються. Це означає, що відновити їх за допомогою засобу відновлення файлів або відновлення диска неможливо.
Однак через можливі слабких місць в шкідливі програми можна відновити інші зашифровані файли в системі, коли вони були збережені за межами цих трьох місць розташування, використовуючи засіб відновлення диска, так як більшість файлів переміщаються в тимчасову папку і Потім, як правило, видаляється, але також не буде перезаписано за допомогою очищувача. Однак коефіцієнт відновлення може відрізнятися в різних системах, оскільки віддалений файл може бути перезаписаний іншими операціями з дисками.
Коротше кажучи, можна відновити деякі файли, які були зашифровані за допомогою WannaCrypt, але не заплатили викуп, проте відновлення всіх файлів без резервного копіювання в даний час є неможливим.
В якості примітки з безпеки, будьте обережні з будь-якими сервісами, що пропонують розшифрувати всі файли і т. Д., Так як ці розшифровувача цілком можуть бути приховані шкідливими програмами.
Ми перевірили відновлення файлів за допомогою засобу відновлення диска Disk Drill, на скріншоті нижче показані видалені файли, які були виявлені і відновлені за допомогою цього інструменту:
Іноді творці програм-вимагачів припускаються помилок в коді. Ці помилки можуть допомогти постраждалим знову отримати доступ до своїх файлів після зараження. У нашій статті коротко описуються кілька помилок, допущених розробниками вимагача WannaCry.
Помилки в логіці видалення файлу
Коли Wannacry шифрує файли на комп'ютері жертви, він читає вміст оригінального файлу, шифрує його і зберігає в файл з розширенням «.WNCRYT». Після закінчення процесу шифрування він переміщує файл з розширенням «.WNCRYT» в файл «.WNCRY» і видаляє оригінальний файл. Логіка цього видалення може змінюватися в залежності від розташування і властивостей оригінальних файлів.
При розташуванні файлів на системному диску:
Якщо файл знаходиться в «важливою» папці (з точки зору розробників вимагача, наприклад на робочому столі або в папці «Документи»), то перед його видаленням, поверх нього будуть записані випадкові дані. В цьому випадку способів відновити вміст вихідного файлу немає.
Якщо файл зберігається поза «важливих» папок, то оригінальний файл буде переміщений в папку% TEMP% \\% d.WNCRYT (де% d - це числове значення). Такий файл містить початкові дані, поверх яких нічого не пишеться, - він просто видаляється з диска. Тому існує висока ймовірність, що його можна буде відновити за допомогою програм відновлення даних.
Перейменовані оригінальні файли, які можна відновити з директорії% TEMP%
При розташуванні файлів на інших (несистемних) дисках:
- Вимагач створює папку «$ RECYCLE» і задає їй атрибути «прихована» і «системна». В результаті папка стає невидимою в Провіднику Windows, якщо конфігурація Провідника задана за замовчуванням. За планом оригінальні файли після шифрування будуть переміщені в цю папку.
Процедура, яка визначає тимчасову директорію для зберігання оригінальних файлів перед видаленням
- Однак через помилки синхронізації в коді вимагача оригінальні файли в багатьох випадках залишаються в тій же директорії і не переміщаються в папку $ RECYCLE.
- Оригінальні файли видаляються небезпечно. Цей факт робить можливим відновлення видалених файлів за допомогою програм відновлення даних.
Оригінальні файли, які можна відновити з несистемного диска
Процедура, яка генерує тимчасовий шлях для оригінального файлу
Ділянка коду, що викликає описані вище процедури
Помилка обробки файлів із захистом від запису
Аналізуючи WannaCry, ми також виявили, що в здирників допущена помилка в обробці файлів із захистом від запису. Якщо на зараженому комп'ютері є такі файли, то вимагач їх не зашифрує взагалі: будуть створені зашифровані копії кожного такого файлу, а самі оригінальні файли тільки отримають атрибут «прихований». У такому випадку їх легко знайти і відновити їх нормальні атрибути.
Оригінальні файли із захистом від записі не зашифровуються і нікуди не переміщаються
висновки
В результаті проведеного нами глибокого дослідження даного вимагача стає зрозуміло, що його розробники допустили безліч помилок, а якість коду досить низька, як ми зазначили вище.
Якщо ваш комп'ютер був заражений здирником WannaCry, існує велика ймовірність, що ви зможете відновити багато з зашифрованих файлів. Для цього можна скористатися безкоштовними утилітами для відновлення файлів.
