Главная Компьютер Wanna decryptor 2 0 как восстановить файлы. Как расшифровать файлы после WannaCry. Ошибка обработки файлов с защитой от записи

Wanna decryptor 2 0 как восстановить файлы. Как расшифровать файлы после WannaCry. Ошибка обработки файлов с защитой от записи

WannaCry - специальная программа, которая блокирует все данные в системе и оставляет пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor - инструмент для разблокировки данных.

Большинство компаний, занимающихся компьютерной безопасностью, имеют инструменты дешифровки выкупа, которые могут обходить программное обеспечение. Для обычных смертных способ «лечения» пока неизвестен.

WannaCry Decryptor (или WinCry, WannaCry, .wcry, WCrypt , WNCRY, WanaCrypt0r 2.0), уже называют «вирусом 2017 года». И совсем не безосновательно. Только за первые 24 часа с момента начала своего распространения - данный шифровальщик поразил больше 45000 компьютеров. Некоторые же исследователи считают что на данный момент (15 мая) заражено уже больше миллиона компьютеров и серверов. Напомним, что вирус начал распространятся 12 мая. Первыми пострадали пользователи из России, Украины, Индии и Тайваня. На данный же момент вирус с большой скоростью распространяется в Европе, США и Китае.

Была зашифрована информация на компьютерах и серверах государственных учреждений (в частности МВД России), госпиталей, транснациональных корпораций, университетов и школ.

Wana Decryptor (Wanna Cry или Wana Decrypt0r) парализовал работу сотен компаний и госучреждений во всем мире

По сути WinCry (WannaCry) - это эксплоит семейства EternalBlue, который использует довольно-таки старую уязвимость операционной системы Windows (Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10) и в «тихом» режиме загружает себя в систему. После чего с помощью стойких к расшифровке алгоритмов шифрует данные пользователей (документы, фото, видео, электронные таблицы, базы данных) и требует выкуп за расшифровку данных. Схема не нова, мы постоянно пишем о новых разновидностях шифровальщиков файлов - но вот метод распространения новый. И это привело к эпидемии.

Как работает вирус

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Кстати, данные пути не отслеживаются современными антивирусными программами, что и сделало заражение настолько массовым. И это огромный булыжник в огород разработчиков антивирусного ПО. Как можно было такое допустить? Вы за что деньги берете?

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем, WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry . Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткоинах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров.

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi , позволяющую расшифровать файлы без выкупа.

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch, - программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.) русск. , 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично заблокировать распространение данной модификации вредоносной программы. 14 мая был зарегистрирован и второй домен. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предпологать, происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был поврежден механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный вред.

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010 . Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 - начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).

Распространение вируса WannaCry

Вирус может распространятся различными способами:

Через единую компьютерную сеть;
Через почту;
Через браузер.

Лично, мне не совсем понятно, почему сетевое соединение не сканируется антивирусом. Такой же способ заражение, как через посещение сайта или браузер — доказывает беспомощность разработчиков и то, что запрашиваемые средства на лицензионное ПО для защиты ПК ничем не оправданы.

Симптомы заражения и лечение вируса

После успешной установки на ПК пользователя WannaCry пытается распространяться по локальной сети на другие ПК, как червь. Зашифрованные файлы получают системное расширение.WCRY и становятся полностью нечитаемыми и расшифровать их самостоятельно не предоставляется возможным. После полного шифрования Wcry меняет обои рабочего стола и оставляет «инструкции» по расшифровке файлов в папках с зашифрованными данными.

Поначалу хакеры вымогали $300 за ключи расшифровки, но потом подняли эту цифру до $600.

Как предостеречь заражение вашего ПК шифровальщиком WannaCry Decryptor?

Скачать обновление операционной системы с сайта Microsoft.

Что делать ес ли Ваш ПК заражен?

Используйте инструкции ниже для того чтобы попытаться восстановить хотя-бы часть информации на зараженном ПК. Обновите антивирус и установите патч операционной системы . Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп - никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Удалить шифровальщик WannaCry с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Загрузить программу для удаления вируса WannaCry . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика WannaCry .
Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция «Восстановление системы» должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя WannaCry

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Расшифровка

А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((

Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет:

«Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.»

Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена

Создатели вируса-вымогателя WannaCry, от которого пострадали компьютеры в более чем 70 странах, выпустили его новую версию. В ней отсутствует код для обращения к бессмысленному домену, с помощью которого удалось предотвратить распространение оригинального вируса, пишет Motherboard. Издание получило подтверждение о появлении новой версии вируса от двух специалистов, которые изучали новые случаи заражения компьютеров. Один из них - Костин Райю (Costin Raiu), руководитель международной исследовательской команды «Лаборатории Касперского».

Специалисты не уточнили, появились ли в WannaCry какие-либо другие изменения.

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Cryptre . На файле написано: нет данных.

© Генеалогия: >> Cryptre

К зашифрованным файлам добавляется расширение .encrypted , но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted .original_file_extension.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files has been safely encrypted

The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoins. The price is: $200 = 0.05718488 Bitcoins
Click on the "Buy decryption key" button.

Перевод текста на русский язык:
Ваши файлы надежно зашифрованы
[Купить биткоины] [Расшифровать файлы]
[Ключ дешифрования]
Единственный способ восстановить ваши файлы - это купить ключ расшифровки
Способ оплаты: Биткоины. Цена: $200 = 0.05718488 Биткоин.
Нажмите на кнопку " Купить ключ дешифрования " .

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога .

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1 .

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
CmdLine >>
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreal

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Update.exe
.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺

12 мая примерно в 13MSK разорвалась «бомба», началось распространение вируса Wana Decryptor. Практически за несколько часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.

К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать используя такие программы как ShadowExplorer и PhotoRec.

Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которой от текущей (2.0) был способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.

И последним именем, которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Как Wana Decryptor проникает на компьютер?

Причиной быстрого распространения Wana Decrypt0r шифровальщика является наличие уязвимости в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версия Windows, от Windows 7 до Windows 10. Ещё 14 марта 2017 г. было выпущено обновление «MS17-010: Обновление безопасности для Windows SMB Server» (ссылка), но как показывает скорость распространения вируса, это обновление было установлено далеко не на все компьютеры.

Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.

Как WanaDecryptor зашифровывает файлы на компьютере?

При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry

После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.

На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.

Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.

Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после того как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».

Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @[email protected] — содержит инструкцию по-расшифровке файлов и @[email protected] — дешифровщик зашифрованных файлов.

На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.

Как восстановить зашифрованные WNCRY файлы?

Как уже было сказано ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec. Подробно процесс их использования описан в этом руководстве .

Если у вас возникли вопросы или ваш нужна помощь, то можете создать новую тему на нашем форуме или оставить комментарий ниже.

Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?

Сначала вам необходимо закрыть уязвимость в операционной системе, установив обновление MS17-010, ссылку на которое вы можете найти в начале этой статьи. Если установить обновление невозможно, значит отключите использование протокола SMBv1 (Как включить и отключить SMBv1, ссылка) или в файрволе заблокируйте входящие соединения на порт 445.

Для организации полноценной защиты компьютера вам необходимы, как минимум бесплатный антивирус (смотрите эту статью ) и программа для борьбы с вредоносным ПО (смотрите эту статью ). Мы рекомендуем использовать Zemana Anti-malware или Malwarebytes. Полные версии этих программ так же включают дополнительный модуль, блокирующий запуск вирусов шифровальщиков.

Новый вирус-шифровальщик WannaCry или WanaDecryptor 2.0, оставляющий вместо пользовательских данных зашифрованные файлы.wncry, сотрясает просторы Интернета. Поражены сотни тысяч компьютеров и ноутбуков по всему миру. Пострадали не только обычные пользователи, но сети таких крупных компаний как Сбербанк, Ростелеком, Билайн, Мегафон, РЖД и даже МВД России.

Такую массовость распространения вирусу-вымогателю обеспечило использование новых уязвимостей операционных систем семейства Windows, которые были рассекречены с документами спецслужб США.

WanaDecryptor, Wanna Cry, WanaCrypt или Wana Decryptor — какое название правильное?

На то время, когда началась вирусная атака на глобальную паутину ещё никто не знал как точно называется новая зараза. Сначала её называли Wana Decrypt0r по называнию окна с сообщением, которое возникало на рабочем столе. Несколько позднее появилась новая модификация шифровальщика — Wanna Decrypt0r 2.0 . Но опять же, это окно-вымогатель, которое фактически продаёт пользователю ключ-декриптор, который теоретически должен прийти пострадавшему после того, как он переведёт мошенникам требуемую сумму. Сам же вирус, как оказалось, называется Wanna Cry (Ванна Край).
В Интернете же до сих пор можно встретить разные его наименования. Причём часто пользователи вместо буквы «o» ставят цифру «0» и наоборот. Так же большую путаницу вносят различные манипуляции с пробелами, например WanaDecryptor и Wana Decryptor, либо WannaCry и Wanna Cry.

Как работает шифровальщик WanaDecryptor

Принцип работы этого вымогателя коренным образом отличается от предыдущих вирусов-шифровальщиков, с которыми мы встречались. Если раньше для того, чтобы зараза начала работать на компьютере, надо было её сначала запустить. То есть ушастому юзеру приходило письмо по почте с хитрым вложением — скриптом маскирующимся по какой-нибудь документ. Человек запускал исполняемый файл и тем самым активировал заражение ОС. Вирус Ванна Край работает по другом. Ему не надо пытаться обмануть пользователя, достаточно чтобы у того была доступна критическая уязвимость службы общего доступа к файлам SMBv1, использующая 445-й порт. К слову сказать, уязвимость эта стала доступна благодаря информации из архивов американских спецслужб опубликованной на сайте wikileaks.
Попав на компьютер жертвы WannaCrypt начинает массово шифровать файлы своим, очень стойким алгоритмом. В основном поражению подвержены следующие форматы:

key, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt,edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

У зашифрованного файла меняется расширение на .wncry . В каждую папку вирус вымогатель может добавить еще два файла. Первый — это инструкция, где описано как делаеться расшифровка wncry-файла Please_Read_Me.txt, а второй — приложение-дектиптор WanaDecryptor.exe.
Эта пакость работает тихо-мирно до тех пор, пока не поразит весь жесткий диск, после чего выдаст окно WanaDecrypt0r 2.0 с требованием дать денег. Если пользователь не дал ему доработать до конца и антивирусом смог удалить программу-криптор, на рабочем столе появится вот такое сообщение:

То есть пользователя предупреждают, что часть его файлов уже поражена и если Вы желаете получить их обратно — верните криптор обратно. Ага, сейчас! Ни к коем случае этого не делайте, иначе потеряете и остальное. Внимание! Как расшифровать файлы WNCRY не знает никто. Пока. Возможно позже какое-то средство расшифровки появится — поживём, увидим.

Защита от вируса Wanna Cry

Вообще, патч Майкрософт MS17-010 для защиты от щифровальщика Wanna Decryptor вышел ещё 12 мая и если на вашем ПК служба обновления Windows работает нормально, то
скорее всего операционная система уже защищена. В противном случае нужно скачать этот патч Microsoft для своей версии Виндовс и срочно установить его.
Затем желательно отключить вообще поддержку SMBv1. Хотя бы пока не схлынет волна эпидемии и обстановка не устаканится. Сделать это можно либо из командной строки с правами Администратора, введя команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Либо через панель управления Windows. Там необходимо зайти в раздел «Программы и компоненты», выбрать в меню «Включение или отключение компонентов Windows». Появится окно:

Находим пункт «Поддержка общего доступа к файлам SMB 1.0/CIFS», снимаем с него галочку и жмём на «ОК».

Если вдруг с отключением поддержки SMBv1 возникли проблемы, то для защиты от Wanacrypt0r 2.0 можно пойти другим путём. Создайте в используемом в системе фаерволе правило, блокирующее порты 135 и 445. Для стандартного брандмауэра Windows нужно ввести в командной строке следующее:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Close_TCP-445″

Ещё вариант — воспользоваться специальным бесплатным приложением Windows Worms Doors Cleaner :

Оно не требует установки и позволяет без проблем перекрыть бреши в системе, через которые в неё может пролезть вирус-шифровальщик.

Ну и конечно же нельзя забывать про антивирусную защиту. Используйте только проверенные антивирусные продукты — DrWeb, Kaspersky Internet Security, E-SET Nod32. Если антивирус у Вас уже установлен — обязательно обновите его базы:

Напоследок дам небольшой совет. Если у Вас есть очень важные данные, которые крайне нежелательно потерять — сохраните их на съёмный жесткий диск и положите в шкаф. Хотя бы на время эпидемии. Только так можно хоть как-то гарантировать их сохранность, ведь никто не знает какая будет следующая модификация.

Как удалить Wana Decrypt0r 2.0

Мир Интернет и пользователей ПК ошеломила с новый вид данных шифрование вымогателей, называется Wana Decrypt0r 2.0, которым уже инфицированы тысячи работы станции в очень короткое время. Он заразил более чем 99 стран, одновременно включая США, Латинской Америке, Европе, а также стран Азии. Wana Decrypt0r 2.0 известенпод несколькими именами WCry, WNCry, WannaCry и так далее. После успешного получения установлен, он начинает сканирование рабочей станции в поисках файлов и программ, которые он может зашифровать. Он использует алгоритм шифрования RSA и AES для блокировки файлов и заменяет расширение его имя по умолчанию.wcry, .wcryt, .wncry или.wncrrytt. Его связанной с выкупаПримечание хранится в текстовом файле, названный как @Please читать [email protected]. В настоящей записке содержится информация о вымогателей и bitcoin и адрес электронной почты для того, чтобы заплатить выкуп. Исследований показывает, что Wana Decrypt0r 2.0 требует заплатить 300 долларов США в виртуальной валюты Bitcoin в обмен ключа расшифровки. Настоятельно рекомендуется, что сразу сканирования вы работы станция с мощным анти вредоносных инструмент полностью удалить все связанные файлы и полезных Wana Decrypt0r 2.0. Это очень важно, что все его элементы удалены так, что он не может зашифровать любые другие файлыи данные.

Каким образом Wana Decrypt0r 2.0 получить распространяется?

Технически Wana Decrypt0r 2.0 способен заразить Windows на основе ПК. Она эксплуатирует уязвимость EternalBlue в Windows 7, 8, 10 и версий Windows Server. Интересно если вы не получили Microsoft патчей, индекс MS17-010, CVE-2017-0146 и CVE-2017-0147 в марте, 2017 то ты большинство как чтобы заразиться этой вредоносной программы. Как и другие вымогателей это до сих пор неизвестно, что ониспользует ли планшеты или спам электронной почты вложения кампаний дляее распространения или нет. Однако вы должны быть очень осторожны при открытии любого рода вложения электронной почты или щелкнув произвольных гиперссылок во время просмотра.

Как расшифровать Wana Decrypt0r 2.0

В соответствии с кибер преступников они манипулируют вам платить выкуп деньги, чтобы получить необходимые расшифровки ключа. Но кибер эксперты полностью согласен рекомендовать для уплаты выкупа. В прошлом было многоситуаций, когда оригинальный ключ расшифровки был не поставщика, даже после того, как деньги были заплачены. Таким образом это всегда лучше попробовать альтернативные способы, такие как использование файлов резервных копий, виртуальный теневые копии или даже бесплатно данных восстановления инструмента доступны на Интернете. Одновременно не забывайте проверять работу станция с мощным анти вредоносного инструмент и удалить все ассоциированные элементы Wana Decrypt0r 2.0.

Как делает Wana Decrypt0r 2.0 получить в ПК

Такого рода вредоносных программ инфекции показывает, насколько уязвимы, в этой современной информации возраста эпохи. Это может нарушить производительность ПК и в то же время, мы могли бы потерять наши многомиллионные убытки. Имели место несколько докладов, где один компьютер вредоносных программ зараженных тысячи Windows PC в один день. Таким образом чтобы успешно удалить Wana Decrypt0r 2.0, это также важно знать этой вредоносной программы цели зараженном ПК и легко входит в него.

Как правило он получает доступ компонентов файлов и кодов с реальным программами, которые часто предлагают как freeware. Они piggybacks на законной бесплатной программы и устанавливается очень тихо. Предположим, получить этот вирус установлен с некоторыми Java-программы так что когда каждый раз, когда выполняется этот файл Java, эта инфекция также становится активным и начинает его подозрительной деятельности. Как правило они самовоспроизводящаяся и может воспроизводить. Кроме того он может путешествовать через поврежденные сообщения электронной почты, файл одноранговой сети, подозрительные гиперссылки и др. Он способен использовать компьютерную сеть и безопасности отверстий для того, чтобы повторить себя и получает установлен очень тихо. Загружаемые программы из Интернета особенно из ненадежных источников также являются большим источником компьютерных атак вредоносного по.

Как может быть опасно Wana Decrypt0r 2.0?

Любой вид ПК вредоносных программ всегда опасно, и если это калибров Wana Decrypt0r 2.0 тогда ситуация стала еще хуже. Он может взять под контроль весь браузер, блокирует доступ важных приложений и функций и дополнительно использует параметры безопасности для того, чтобы принести так много других вредоносных программ в бэкдора. Получить содержимое веб-страницы, которые вы посещаете автоматически и его ключевое слово получает смелые и гиперссылками с вредоносных URL-адресов на нем. Вы обязаны получить перенаправлены через фишинг и опасные веб-сайты, которые главным образом содержит порно содержание.

Основные поведение Wana Decrypt0r 2.0 является шпионить на вашей деятельности в Интернете и положить вашу конфиденциальную информацию в сфере наблюдения. Он может использовать подключаемые модули подозрительные браузера, дополнения и даже ключевые лесозаготовители и ключ штрихи для того, чтобы шпионить и записывать деятельность пользователя и пропустить весьма конфиденциальные данные, такие как идентификаторы, пароль, географическое расположение и IP-адреса, банковские реквизиты и др. Путем изменения параметров подключения к Интернету, компьютер подключен с сервером кибер криминалистической, таким образом ваш компьютер незаконно доступа к несанкционированным третьим лицам. Он возьмет на себя браузер по умолчанию домашнюю страницу и поисковая система и покажет нерелевантных подозрительных веб-сайтов в результатах поиска. Большинство веб-сайтов в результатах поиска являются коммерческие домены, которые являются абсолютно никакого значения для поисковых запросов. Таким образом важно удалить Wana Decrypt0r 2.0, как только его ранние симптомы получить заметили.

Инструкции по удалению Wana Decrypt0r 2.0

План а: избавиться от Wana Decrypt0r 2.0 с ручным процессом (рекомендуется кибер экспертов и топ техников только)

План б : удалить Wana Decrypt0r 2.0 с ПК Windows, используя средство автоматического удаления (сейф и легко для всех пользователей ПК)

Windows OS план а: избавиться от Wana Decrypt0r 2.0 с ручным

Перед выполнением ручного процесса, есть несколько вещей, которые должны быть подтверждены. Во-первых, это, что вы должны иметь технические знания и Рик опыт удаления ПК вредоносных программ вручную. Необходимо иметь глубокие знания записей системного реестра и файлов. Должны иметь возможность отменить неправильные шаги и должны знать возможные негативные последствия, которые могут возникнуть из вашей ошибки. Если вы не выполняете эти базовые технические знания, план будет очень рискованно, и его следует избегать. В таком случае он настоятельно рекомендуется включить для Plan B, который легче и поможет вам обнаружить и удалить Wana Decrypt0r 2.0 легко с помощью автоматического инструмента. (С SpyHunter и RegHunter)

Шаг 1 : Удалить Wana Decrypt0r 2.0 из панели управления

Шаг 2: Удалить Wana Decrypt0r 2.0 из браузеров

На Chrome: Открыть Google Chrome > нажмите меню Chrome > выберите Инструменты > щелкните расширение > выберите Wana Decrypt0r 2.0 расширения > корзину

На Firefox: Откройте Firefox > перейти на правом углу, чтобы открыть меню браузера > выберите Дополнения > выбрать и удалить расширения Wana Decrypt0r 2.0

В Internet Explorer: Откройте IE > нажмите Инструменты > нажмите на управление надстройками, инструменты и расширения > выберите расширения Wana Decrypt0r 2.0 и его элементы и удалите их.

Шаг 3: Удалить Wana Decrypt0r 2.0 вредоносные файлы и записи из реестра

3. Обнаружение записи реестра, созданные Wana Decrypt0r 2.0 и тщательно удалить их по одному

HKLM\SOFTWARE\Classes\AppID\.exe
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http://.com”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\virus name
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
‘Random’ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

План б: удалить Wana Decrypt0r 2.0 с автоматической Wana Decrypt0r 2.0 утилиту

Step1. Сканируете зараженный компьютер с SpyHunter, чтобы удалить Wana Decrypt0r 2.0.

1. Нажмите на кнопку Загрузить, чтобы безопасно скачать SpyHunter.

Примечание : Во время загрузки SpyHunter в вашем ПК, ваш браузер может отображать поддельные предупреждение таких, как «этот тип файла может нанести вред вашему компьютеру. Вы все еще хотите сохранить Download_Spyhunter-installer.exe так или иначе?». Помните, что это обман сообщение, которое фактически порожденных PC инфекции. Вы должны просто игнорировать сообщение и нажмите на кнопку «Сохранить».

2. Запустите SpyHunter-Installer.exe установки SpyHunter, с помощью установщика программного обеспечения Enigma.

3. После завершения установки получает SpyHunter для сканирования компьютера и поиск глубоко, чтобы обнаружить и удалить Wana Decrypt0r 2.0 и связанные с ней файлы. Любые вредоносные программы или потенциально нежелательные программы автоматически получить отсканированы и обнаружены.

4. Нажмите на кнопку «Исправить угроз», чтобы удалить все компьютерные угрозы, обнаруженные SpyHunter.

Шаг 2. Используйте RegHunter для максимизации производительности ПК

1. Нажмите, чтобы скачать RegHunter вместе с SpyHunter

2. Запустите RegHunter-Installer.exe для установки RegHunter через установителя

Методы, используемые средством автоматического удаления Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 является очень современных вредоносных программ инфекции, так что это очень трудно для анти-вредоносных программ получает свое определение, обновление для таких атак вредоносного по. Но с автоматической Wana Decrypt0r 2.0 средство удаления, нет никаких таких вопросов. Этот сканер вредоносных программ получает регулярные обновления для последних определений вредоносных программ и таким образом он может очень быстро сканировать компьютер и удалить все виды угроз вредоносных программ, включая шпионских программ, вредоносного по, троянских и так далее. Многие опросы и компьютерных экспертов утверждает это как лучший инструмент удаления инфекции для всех версий Windows PC. Этот инструмент будет полностью отключить связь между кибер криминалистической и ваш компьютер. Она имеет очень предварительный алгоритм сканирования и три шага процесс удаления вредоносных программ так, чтобы сканирование процесс, а также удаления вредоносных программ становится очень быстро.

Компьютерная помощь