Новий вірус-шифрувальник WannaCry або WanaDecryptor 2.0, який залишає замість призначених для користувача даних зашифровані файли.wncry, стрясає простори Інтернету. Вражені сотні тисяч комп'ютерів і ноутбуків по всьому світу. Постраждали не тільки звичайні користувачі, але мережі таких великих компаній як Ощадбанк, Ростелеком, Білайн, Мегафон, РЖД і навіть МВС Росії.
Таку масовість поширення вірусу-вимагача забезпечило використання нових вразливостей операційних систем сімейства Windows, які були розсекречені з документами спецслужб США.
WanaDecryptor, Wanna Cry, WanaCrypt або Wana Decryptor - яку назву правильне?
На той час, коли почалася вірусна атака на глобальну павутину ще ніхто не знав як точно називається нова зараза. Спочатку її називали Wana Decrypt0r по називання вікна з повідомленням, яке виникало на робочому столі. Дещо пізніше з'явилася нова модифікація шифрувальника - Wanna Decrypt0r 2.0. Але знову ж таки, це вікно-вимагач, яке фактично продає користувачеві ключ-декріптор, який теоретично повинен прийти потерпілому після того, як він переведе шахраям необхідну суму. Сам же вірус, як виявилося, називається Wanna Cry (Ванна Край).
В Інтернеті ж до сих пір можна зустріти різні його найменування. Причому часто користувачі замість букви «o» ставлять цифру «0» і навпаки. Так само велику плутанину вносять різні маніпуляції з пробілами, наприклад WanaDecryptor і Wana Decryptor, або WannaCry і Wanna Cry.
Як працює шифрувальник WanaDecryptor
Принцип роботи цього вимагача докорінно відрізняється від попередніх вірусів-шифрувальників, з якими ми зустрічалися. Якщо раніше для того, щоб зараза почала працювати на комп'ютері, треба було її спочатку запустити. Тобто вухатому користувачеві приходив лист поштою з хитрим вкладенням - скриптом маскуються по якій-небудь документ. Людина запускав виконуваний файл і тим самим активував зараження ОС. Вірус Ванна Край працює по іншому. Йому не треба намагатися обдурити користувача, досить щоб у того була доступна критична уразливість служби загального доступу до файлів SMBv1, що використовує 445-й порт. До слова сказати, вразливість ця стала доступна завдяки інформації з архівів американських спецслужб опублікованій на сайті wikileaks.
Потрапивши на комп'ютер жертви WannaCrypt починає масово шифрувати файли своїм, дуже стійким алгоритмом. В основному поразки схильні такі формати:
key, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
У зашифрованого файлу змінюється розширення на .wncry. У кожну папку вірус вимагач може додати ще два файли. Перший - це інструкція, де описано як делаеться розшифровка wncry-файлу Please_Read_Me.txt, а другий - додаток-дектіптор WanaDecryptor.exe.
Ця капость працює тихо-мирно до тих пір, поки не вразить весь жорсткий диск, після чого видасть вікно WanaDecrypt0r 2.0 з вимогою дати грошей. Якщо користувач не дав йому допрацювати до кінця і антивірусом зміг видалити програму-криптор, на робочому столі з'явиться ось таке повідомлення:
Тобто користувача попереджають, що частина його файлів вже вражена і якщо Ви бажаєте отримати їх назад - поверніть криптор назад. Ага зараз! Ні до якому разі цього не робіть, інакше втратите і інше. Увага! Як розшифрувати файли WNCRY не знає ніхто. Поки. Можливо пізніше якийсь засіб розшифровки з'явиться - поживемо, побачимо.
Захист від вірусу Wanna Cry
Взагалі, патч Майкрософт MS17-010 для захисту від щіфровальщіка Wanna Decryptor вийшов ще 12 травня і якщо на вашому ПК служба оновлення Windows працює нормально, то
швидше за все операційна система вже захищена. В іншому випадку потрібно завантажити цей патч Microsoft для своєї версії Віндовс і терміново встановити його.
Потім бажано відключити взагалі підтримку SMBv1. Хоча б поки не спаде хвиля епідемії і обстановка не устаканиться. Зробити це можна або з командного рядка з правами адміністратора, ввівши команду:
dism / online / norestart / disable-feature / featurename: SMB1Protocol
Або через панель управління Windows. Там необхідно зайти в розділ «Програми та засоби», вибрати в меню «Включення або відключення компонентів Windows». З'явиться вікно:
Знаходимо пункт «Підтримка загального доступу до файлів SMB 1.0 / CIFS», знімаємо з нього галочку і тиснемо на «ОК».
Якщо раптом з відключенням підтримки SMBv1 виникли проблеми, то для захисту від Wanacrypt0r 2.0 можна піти іншим шляхом. Створіть у використовуваному в системі фаєрволі правило, що блокує порти 135 і 445. Для стандартного брандмауера Windows потрібно ввести в командному рядку наступне:
netsh advfirewall firewall add rule dir \u003d in action \u003d block protocol \u003d TCP localport \u003d 135 name \u003d "Close_TCP-135"
netsh advfirewall firewall add rule dir \u003d in action \u003d block protocol \u003d TCP localport \u003d 445 name \u003d "Close_TCP-445"
Ще варіант - скористатися спеціальним безкоштовним додатком Windows Worms Doors Cleaner:
Воно не вимагає установки і дозволяє без проблем перекрити проломи в системі, через які в неї може пролізти вірус-шифрувальник.
Ну і звичайно ж не можна забувати про антивірусний захист. Використовуйте тільки перевірені антивірусні продукти - DrWeb, Kaspersky Internet Security, E-SET Nod32. Якщо антивірус у Вас вже встановлено - обов'язково оновіть його бази:
Наостанок дам невелику пораду. Якщо у Вас є дуже важливі дані, які вкрай небажано втратити - збережіть їх на знімний жорсткий диск і покладіть в шафу. Хоча б на час епідемії. Тільки так можна хоч якось гарантувати їх збереження, адже ніхто не знає яка буде наступна модифікація.
Цей крипто-вимагач шифрує дані користувачів за допомогою AES, а потім вимагає викуп в $ 200 в BTC, щоб повернути файли. Оригінальна назва: Cryptre. На фото написано: немає даних.
© Генеалогія: \u003e\u003e Cryptre
До зашифрованих файлів додається розширення .encrypted, Але не до кінця файлу, а між оригінальним ім'ям і оригінальним розширенням файлу за шаблоном original_file_name .encrypted.original_file_extension.
Увага! Нові розширення, email і тексти про викуп можна знайти в кінці статті, в оновленнях. Там можуть бути відмінності з початковим варіантом.
Активність цього крипто-здирника припала на середину грудня 2018 р Орієнтований на англомовних користувачів, що не заважає поширювати його по всьому світу.
Запискою з вимогою викупу виступає екран блокування:
Зміст тексту про викуп:
Your files has been safely encrypted
The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoins. The price is: $ 200 \u003d 0.05718488 Bitcoins
Click on the "Buy decryption key" button.
Перекладтекстуна російську мову:
Ваші файли надійно зашифровані
[Купити біткоіни] [Розшифрувати файли]
[Ключ дешифрування]
Єдиний спосіб відновити ваші файли - це купити ключ розшифровки
Спосіб оплати: біткоіни. Ціна: $ 200 \u003d 0.05718488 біткоіни.
Натисніть на кнопку" Купити ключ дешифрування" .
Технічні деталі
Може поширюватися шляхом злому через незахищену конфігурацію RDP, за допомогою email-спаму і шкідливих вкладень, обманних завантажень, ботнетів, експлойтів, веб-Інжект, фальшивих оновлень, Перепакована і заражених інсталяторів. Див. Також "Основні способи поширення кріптовимогателей" на вступній сторінці блогу.
Якщо ви нехтуєте комплексної антивірусним захистом класу Internet Security або Total Security, то хоча б робіть резервне копіювання важливих файлів за методом 3-2-1 .
Видаляє тіньові копії файлів, відключає функції відновлення та виправлення Windows на етапі завантаження командами:
CmdLine \u003e\u003e
vssadmin.exe Delete Shadows / All / Quiet
bcdedit / set (default) recoveryenabled No
bcdedit / set (default) bootstatuspolicy ignoreal
Список файлових розширень, що піддаються шифрування:
Це документи MS Office, OpenOffice, PDF, текстові файли, бази даних, фотографії, музика, відео, файли образів, архіви та ін.
Файли, пов'язані з цим Ransomware:
Windows Update.exe
розташування:
\\ Desktop \\ -\u003e
\\ User_folders \\ -\u003e
\\% TEMP% \\ -\u003e
Записи реєстру, пов'язані з цим Ransomware:
Сумісність із мережею і зв'язку:
Див. Нижче в оновленнях інші адреси та контакти.
Див. Нижче результати аналізів.
Результати аналізів:
Ⓗ Hybrid аналіз \u003e\u003e
𝚺
Як видалити Wana Decrypt0r 2.0
Світ Інтернет і користувачів ПК приголомшила з новий вид даних шифрування здирників, називається Wana Decrypt0r 2.0, яким вже інфіковані тисячі роботи станції в дуже короткий час. Він заразив більше ніж 99 країн, одночасно включаючи США, Латинській Америці, Європі, а також країн Азії. Wana Decrypt0r 2.0 ізвестенпод кількома іменами WCry, WNCry, WannaCry і так далі. Після успішного отримання встановлений, він починає сканування робочої станції в пошуках файлів і програм, які він може зашифрувати. Він використовує алгоритм шифрування RSA і AES для блокування файлів і замінює розширення його ім'я по умолчанію.wcry, .wcryt, .wncry ілі.wncrrytt. Його пов'язаної з викупаПрімечаніе зберігається в текстовому файлі, названий як @Please читати [Email protected] У цій записці міститься інформація про вимагачів і bitcoin та адресу електронної пошти для того, щоб заплатити викуп. Досліджень показує, що Wana Decrypt0r 2.0 вимагає заплатити 300 доларів США в віртуальної валюти Bitcoin в обмін ключа розшифровки. Настійно рекомендується, що відразу сканування ви роботи станція з потужним анти шкідливих інструмент повністю видалити всі пов'язані файли і корисних Wana Decrypt0r 2.0. Це дуже важливо, що всі його елементи вилучені так, що він не може зашифрувати будь-які інші файлиі дані.
Яким чином Wana Decrypt0r 2.0 отримати поширюється?
Технічно Wana Decrypt0r 2.0 здатний заразити Windows на основі ПК. Вона експлуатує уразливість EternalBlue в Windows 7, 8, 10 і версій Windows Server. Цікаво якщо ви не отримали Microsoft патчів, індекс MS17-010, CVE-2017-0146 і CVE-2017-0147 в березні 2017 то ти більшість як щоб заразитися цієї шкідливої \u200b\u200bпрограми. Як і інші вимагачів це до сих пір невідомо, що оніспользует планшети або спам електронної пошти, то додатки кампаній дляее поширення чи ні. Однак ви повинні бути дуже обережні при відкритті будь-якого роду вкладення електронної пошти або клацнувши довільних гіперпосилань під час перегляду.
Як розшифрувати Wana Decrypt0r 2.0
Відповідно до кібер злочинців вони маніпулюють вам платити викуп гроші, щоб отримати необхідні розшифровки ключа. Але кібер експерти повністю згоден рекомендувати для сплати викупу. У минулому було многосітуацій, коли оригінальний ключ розшифровки не була постачальника, навіть після того, як гроші були заплачені. Таким чином це завжди краще спробувати альтернативні способи, такі як використання файлів резервних копій, віртуальний тіньові копії або навіть безкоштовно даних відновлення інструменту доступні на Інтернеті. Одночасно не забувайте перевіряти роботу станція з потужним анти шкідливого інструмент і видалити всі асоційовані елементи Wana Decrypt0r 2.0.
Як робить Wana Decrypt0r 2.0 отримати в ПК
Такого роду шкідливих програм інфекції показує, наскільки вразливі, в цій сучасної інформації віку епохи. Це може порушити продуктивність ПК і в той же час, ми могли б втратити наші багатомільйонні збитки. Мали місце кілька доповідей, де один комп'ютер шкідливих програм заражених тисячі Windows PC в один день. Таким чином щоб успішно видалити Wana Decrypt0r 2.0, це також важливо знати цієї шкідливої \u200b\u200bпрограми мети зараженому ПК і легко входить в нього.
Як правило він отримує доступ компонентів файлів і кодів з реальним програмами, які часто пропонують як freeware. Вони piggybacks на законній безкоштовної програми і встановлюється дуже тихо. Припустимо, отримати цей вірус встановлений з деякими Java-програми так що коли кожен раз, коли виконується цей файл Java, ця інфекція також стає активним і починає його підозрілої діяльності. Як правило вони самовідтворюється і може відтворювати. Крім того він може подорожувати через пошкоджені повідомлення електронної пошти, файл тимчасової мережі, підозрілі гіперпосилання та ін. Він здатний використовувати комп'ютерну мережу і безпеки отворів для того, щоб повторити себе і отримує встановлений дуже тихо. Офлайн програми з Інтернету особливо з ненадійних джерел також є великим джерелом комп'ютерних атак шкідливого по.
Як може бути небезпечно Wana Decrypt0r 2.0?
Будь-який вид ПК шкідливих програм завжди небезпечно, і якщо це калібрів Wana Decrypt0r 2.0 тоді ситуація стала ще гірше. Він може взяти під контроль весь браузер, блокує доступ важливих додатків і функцій і додатково використовує параметри безпеки для того, щоб принести так багато інших шкідливих програм в бекдора. Отримати вміст веб-сторінки, які ви відвідуєте автоматично і його ключове слово отримує сміливі і гіперпосиланнями з шкідливих URL-адрес на ньому. Ви зобов'язані отримати перенаправлені через фішинг і небезпечні веб-сайти, які головним чином містить порно зміст.
Основні поведінку Wana Decrypt0r 2.0 є шпигувати на вашій діяльності в Інтернеті і покласти вашу конфіденційну інформацію в сфері спостереження. Він може застосовувати модулі підозрілі браузера, доповнення та навіть ключові лісозаготівники і ключ штрихи для того, щоб шпигувати і записувати діяльність користувача і пропустити дуже конфіденційні дані, такі як ідентифікатори, пароль, географічне розташування і IP-адреси, банківські реквізити та ін. Шляхом зміни параметрів підключення до Інтернету, комп'ютер підключений з сервером кібер криміналістичної, таким чином ваш комп'ютер незаконно доступу до несанкціонованих третім особам. Він візьме на себе браузер за замовчуванням домашню сторінку і пошукова система і покаже нерелевантних сайтів із підозрілою активністю в результатах пошуку. Більшість веб-сайтів в результатах пошуку є комерційні домени, які є абсолютно ніякого значення для пошукових запитів. Таким чином важливо видалити Wana Decrypt0r 2.0, як тільки його ранні симптоми отримати помітили.
Інструкції з видалення Wana Decrypt0r 2.0
План а: позбутися від Wana Decrypt0r 2.0 з ручним процесом (рекомендується кібер експертів і топ техніків тільки)
план б : Видалити Wana Decrypt0r 2.0 з ПК Windows, використовуючи засіб автоматичного видалення (сейф і легко для всіх користувачів ПК)
Windows OS план а: позбутися від Wana Decrypt0r 2.0 з ручним
Перед виконанням ручного процесу, є кілька речей, які повинні бути підтверджені. По-перше, це, що ви повинні мати технічні знання і Рік досвід видалення ПК шкідливих програм вручну. Необхідно мати глибокі знання записів системного реєстру і файлів. Повинні мати можливість скасувати неправильні кроки і повинні знати можливі негативні наслідки, які можуть виникнути з вашої помилки. Якщо ви не виконуєте ці базові технічні знання, план буде дуже ризиковано, і його слід уникати. В такому випадку він настійно рекомендується включити для Plan B, який легше і допоможе вам виявити і видалити Wana Decrypt0r 2.0 легко за допомогою автоматичного інструменту. (З SpyHunter і RegHunter)
Крок 1: Видалити Wana Decrypt0r 2.0 з панелі управління
Крок 2: Видалити Wana Decrypt0r 2.0 з браузерів
На Chrome: Відкрити Google Chrome\u003e натисніть меню Chrome\u003e виберіть Інструменти\u003e клацніть розширення\u003e виберіть Wana Decrypt0r 2.0 розширення\u003e кошик 
На Firefox: Відкрийте Firefox\u003e перейти на правому куті, щоб відкрити меню браузера\u003e виберіть Додатки\u003e вибрати і видалити розширення Wana Decrypt0r 2.0 
В Internet Explorer: Відкрийте IE\u003e натисніть Інструменти\u003e натисніть на управління надбудовами, інструменти та розширення\u003e виберіть розширення Wana Decrypt0r 2.0 і його елементи і видаліть їх. 
Крок 3: Видалити Wana Decrypt0r 2.0 шкідливі файли і записи з реєстру
3. Виявлення записи реєстру, створені Wana Decrypt0r 2.0 і ретельно видалити їх по одному
- HKLM \\ SOFTWARE \\ Classes \\ AppID \\
.exe - HKEY_CURRENT_USER \\ software \\ Microsoft \\ Internet Explorer \\ Main \\ Start Page Redirect \u003d "http: //
.com " - HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ virus name
- HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Winlogon "Shell" \u003d "% AppData% \\
.exe " - HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run
- 'Random' HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Random
План б: видалити Wana Decrypt0r 2.0 з автоматичною Wana Decrypt0r 2.0 утиліту
Step1. Скануєте заражений комп'ютер з SpyHunter, щоб видалити Wana Decrypt0r 2.0.
1. Натисніть на кнопку Завантажити, щоб безпечно завантажити SpyHunter.
Примітка : Під час завантаження SpyHunter в вашому ПК, ваш браузер може відображати підроблені попередження таких, як «цей тип файлу може завдати шкоди вашому комп'ютеру. Ви все ще хочете зберегти Download_Spyhunter-installer.exe так чи інакше? ». Пам'ятайте, що це обман повідомлення, яке фактично породжених PC інфекції. Ви повинні просто ігнорувати повідомлення і натисніть на кнопку «Зберегти».
2. Запуск SpyHunter-Installer.exe установки SpyHunter, за допомогою установника програмного забезпечення Enigma. 
3. Після завершення установки отримує SpyHunter для сканування комп'ютера і пошук глибоко, щоб виявити і видалити Wana Decrypt0r 2.0 і пов'язані з нею файли. Будь-які шкідливі програми або потенційно небажане програмне забезпечення автоматично отримати відскановані і виявлені. 
4. Натисніть на кнопку «Виправити загроз», щоб видалити всі комп'ютерні загрози, виявлені SpyHunter. 
Крок 2. Використовуйте RegHunter для максимізації продуктивності ПК
1. Натисніть, щоб завантажити RegHunter разом з SpyHunter
2. Запуск RegHunter-Installer.exe для установки RegHunter через установника 
Методи, які використовуються засобом автоматичного видалення Wana Decrypt0r 2.0
Wana Decrypt0r 2.0 є дуже сучасних шкідливих програм інфекції, так що це дуже важко для анти-шкідливих програм отримує своє визначення, оновлення для таких атак шкідливого по. Але з автоматичною Wana Decrypt0r 2.0 засіб видалення, немає ніяких таких питань. Цей сканер шкідливих програм отримує регулярні оновлення для останніх визначень шкідливих програм і таким чином він може дуже швидко сканувати комп'ютер і видалити всі види загроз шкідливих програм, включаючи шпигунських програм, шкідливого по, троянських і так далі. Багато опитування і комп'ютерних експертів стверджує це як кращий інструмент видалення інфекції для всіх версій Windows PC. Цей інструмент буде повністю відключити зв'язок між кібер криміналістичної та ваш комп'ютер. Вона має дуже попередній алгоритм сканування і три кроки процес видалення шкідливих програм так, щоб сканування процес, а також видалення шкідливих програм стає дуже швидко.
Збору інформації.
12 травня почалася епідемія шкідливого ПО Wana Decryptor який шифрує дані на комп'ютері користувача.
Як Wana Decryptor заражає комп'ютери користувачів?
Wana Decrypt0r використовує уразливість в службі SMB операційної системи Windows. Ця вразливість є у всіх сучасних версіях Windows, від Windows 7 до Windows 10.
Дана уразливість закривається патчем MS17-010 (Оновлення безпеки для Windows SMB Server) який був ще випущений 14 березня 2017 (Якщо у вас відключено автоматичне оновлення, то встановіть патч вручну)
Завантажити виправлення безпеки.
Як працює Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for "@ [Email protected]"
При першому запуску шкідливий витягує файл в ту ж папку, що і установник. Файл представляє собою запаролений архів 7zipфайли з якого використовуються в роботі шкідливого ПО
У повідомленні про викуп використовується той же мова, яка використовує користувач комп'ютера. На даний момент Wana Decrypt0r підтримує наступні мови:
далі WanaCrypt0r викачує TOR браузер (Download Tor) який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконаний, вірус виконує команду, за допомогою якої встановлює повний доступ до всіх доступних каталогів і файлів.Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,
CMD / BATCH:
Icacls. / Grant Everyone: F / T / C / Q
Це необхідно для того, щоб зашифрувати якомога більше файлів на зараженому комп'ютері.
А так же намагається завершити наступні процеси:
CMD / BATCH:
Taskkill.exe / f / im mysqld.exe taskkill.exe / f / im sqlwriter.exe taskkill.exe / f / im sqlserver.exe taskkill.exe / f / im MSExchange * taskkill.exe / f / im Microsoft.Exchange. *
Це дозволить зашифрувати бази даних.
Вимагач шифрує файли з наступними розширеннями
код:
Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat,. vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes,. gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx,. doc
Зашифровані файли мають додаткове розширення WNCRYпісля стандартного 
Після шифрування файлів каталозі додаються два файли:
- @[Email protected] - повідомлення вимагача
- @[Email protected] - дешифровщик
CMD / BATCH:
C: \\ Windows \\ SysWOW64 \\ cmd.exe / c vssadmin delete shadow / all / quiet & wmic shadowcopy delete & bcdedit / set (default) boostatuspolicy ignoreallfailures & bcdedit / set (default) recoveryenabled no & wbadmin delete catalog -quiet
!! При спробі виконати команди очищення спрацює запит UAC і якщо відповісти НІ, то команда не буде виконано, що дає високі шанси відновити інформацію.Якщо у вас відключений UAC (наприклад, якщо у вас серверна OS), то прийміть мої співчуття.
Коли користувач натиснув на кнопку перевірити платіж, то вимагач підключиться серверів TOR C2, щоб перевірити, чи був здійснений платіж. Якщо платіж був здійснений, то файли будуть розшифровані в автоматичному режимі, якщо платіж не був проведений, ви побачите відповідь, аналогічний наведеному нижче.
Як розшифрувати файли після WanaCrypt0r?
Якщо в запиті UAC ви відповіли ні, то допоможе. Так само допоможе програма ShadowExplorer.
На даний момент немає можливості розшифрувати файли без допомоги зловмисників якщо очищено тіньових копій.
Як запобігти зараженню шифрувальником-здирником?
- Абсолютного захисту не існує.
- Не вимикайте автоматичне оновлення Windows, це дозволить оперативно (більш-менш) закривати уразливості OS.
- Використовуйте антивірус або будьте готові до ліквідації наслідків.
- Не довіряйте нікому в мережі, не відчиняйте неперевірені файли які ви отримали без антивірусної перевірки.
- Використовуйте резервне копіювання, і чим важливіше інформація тим більше уваги приділяйте питання збереження копій.
