Wirus szyfrujący pliki Wanna Cry - jak się chronić i oszczędzać dane. Deszyfrator Wanna (WannaCry) - jak uchronić się przed cyfrową pandemią Jak uchronić się przed oprogramowaniem ransomware

Jak donoszą rosyjskie media, praca departamentów Ministerstwa Spraw Wewnętrznych w kilku regionach Rosji została zakłócona z powodu oprogramowania ransomware, które zainfekowało wiele komputerów i grozi zniszczeniem wszystkich danych. Ponadto zaatakowany został operator komunikacyjny Megafon.

Mówimy o trojanie ransomware WCry (WannaCry lub WannaCryptor). Szyfruje informacje na komputerze i żąda okupu w wysokości 300 lub 600 dolarów w Bitcoinach za odszyfrowanie.

@[e-mail chroniony], zaszyfrowane pliki, rozszerzenie WNCRY. Wymagane jest narzędzie i instrukcje deszyfrowania.

WannaCry szyfruje pliki i dokumenty z następującymi rozszerzeniami, dodając końcówkę .WCRY na końcu nazwy pliku:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atak WannaCry na całym świecie

Ataki odnotowano w ponad 100 krajach. Największe problemy przeżywają Rosja, Ukraina i Indie. Doniesienia o zakażeniu wirusem napływają z Wielkiej Brytanii, USA, Chin, Hiszpanii i Włoch. Należy zauważyć, że atak hakerski dotknął szpitale i firmy telekomunikacyjne na całym świecie. W Internecie dostępna jest interaktywna mapa rozprzestrzeniania się zagrożenia WannaCrypt.

Jak dochodzi do infekcji?

Jak twierdzą użytkownicy, wirus przedostaje się na ich komputery bez żadnego działania z ich strony i rozprzestrzenia się w niekontrolowany sposób po sieciach. Na forum Kaspersky Lab zwracają uwagę, że nawet włączony program antywirusowy nie gwarantuje bezpieczeństwa.

Zgłoszono, że atak ransomware WannaCry (Wana Decryptor) następuje poprzez lukę w zabezpieczeniach Microsoft Security Bulletin MS17-010. Następnie na zainfekowanym systemie instalowano rootkita, za pomocą którego osoby atakujące uruchamiały program szyfrujący. Wszystkie rozwiązania firmy Kaspersky Lab wykrywają tego rootkita jako MEM:Trojan.Win64.EquationDrug.gen.

Infekcja rzekomo miała miejsce kilka dni wcześniej, jednak wirus ujawnił się dopiero po zaszyfrowaniu wszystkich plików na komputerze.

Jak usunąć WanaDecryptor

W większości przypadków zagrożenie będzie można usunąć za pomocą programu antywirusowego programy antywirusowe już wykrywają zagrożenie. Wspólne definicje:

Avasta Win32: WanaCry-A, ŚREDNIA Okup_r.CFY, Avira TR/FileCoder.ibtft, BitDefendera Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Okup.WanaCrypt0r, Microsoftu Okup:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symanteca Trojan.Gen.2, Ransom.Wannacry

Jeśli uruchomiłeś już zagrożenie na swoim komputerze, a Twoje pliki zostały zaszyfrowane, odszyfrowanie plików jest prawie niemożliwe, ponieważ wykorzystanie luki uruchamia program szyfrujący sieć. Jednak dostępnych jest już kilka opcji narzędzi deszyfrujących:

Notatka: Jeśli Twoje pliki zostały zaszyfrowane i nie ma kopii zapasowej, a istniejące narzędzia odszyfrowujące nie pomogły, zaleca się zapisanie zaszyfrowanych plików przed usunięciem zagrożenia z komputera. Przydadzą się, jeśli w przyszłości zostanie utworzone narzędzie do odszyfrowywania, które będzie dla Ciebie skuteczne.

Microsoft: Zainstaluj aktualizacje systemu Windows

Microsoft powiedział, że użytkownicy posiadający bezpłatny program antywirusowy firmy i włączoną aktualizację systemu Windows będą chronieni przed atakami WannaCryptor.

Aktualizacje z 14 marca naprawiają lukę w zabezpieczeniach systemu, poprzez którą rozprzestrzenia się trojan ransomware. Dzisiaj do programu antywirusowego dodano wykrywanie Baza danych Microsoftu Security Essentials / Windows Defender do ochrony przed nowym złośliwym oprogramowaniem znanym jako Ransom:Win32.WannaCrypt.

• Upewnij się, że Twój program antywirusowy jest włączony i zainstalowany Najnowsze aktualizacje.
• Zainstaluj darmowy program antywirusowy, jeśli Twój komputer nie ma żadnej ochrony.
• Zainstaluj najnowsze aktualizacje systemu za pomocą usługi Windows Update:
  • Dla Windows 7, 8.1 Z menu Start otwórz Panel sterowania > Windows Update i kliknij Wyszukaj aktualizacje.
  • Dla Windows 10 Przejdź do Ustawienia > Aktualizacja i zabezpieczenia i kliknij „Sprawdź dostępność aktualizacji”.
• Jeśli instalujesz aktualizacje ręcznie, zainstaluj oficjalną łatkę Microsoft MS17-010, która usuwa lukę w zabezpieczeniach serwera SMB wykorzystaną w ataku ransomware WanaDecryptor.
• Jeśli Twój program antywirusowy ma ochronę przed oprogramowaniem ransomware, włącz ją. Na naszej stronie internetowej znajduje się również osobna sekcja Ochrona przed oprogramowaniem ransomware, z której można pobrać bezpłatne narzędzia.
• Wykonaj skanowanie antywirusowe swojego systemu.

Eksperci zauważają, że najłatwiejszym sposobem zabezpieczenia się przed atakiem jest zamknięcie portu 445.

• Wpisz sc stop lanmanserver i naciśnij Enter
• W przypadku systemu Windows 10 wprowadź: sc config lanmanserver start=wyłączone, w przypadku innych wersji systemu Windows: sc config lanmanserver start=wyłączone i naciśnij klawisz Enter
• Zrestartuj swój komputer
• W wierszu poleceń wprowadź netstat -n -a | findstr "SŁUCHANIE" | findstr ":445", aby upewnić się, że port jest wyłączony. Jeśli są puste linie, port nie nasłuchuje.

Jeśli to konieczne, otwórz port z powrotem:

• Uruchom Wiersz Poleceń (cmd.exe) jako administrator
• Wpisz dla Windows 10: sc config lanmanserver start=auto , dla innych wersji Windows: sc config lanmanserver start= auto i naciśnij Enter
• Zrestartuj swój komputer

Notatka: Port 445 jest używany przez system Windows do udostępniania plików. Zamknięcie tego portu nie uniemożliwia komputera PC połączenia się z innymi zdalnymi zasobami, ale inne komputery nie będą mogły połączyć się z systemem.

Maj 2017 zapisze się w annałach historii jako czarny dzień dla służby. bezpieczeństwo informacji. Tego dnia świat dowiedział się, że bezpieczny świat wirtualny może być kruchy i bezbronny. Wirus ransomware o nazwie Wanna deszyfrator lub wannacry przejął ponad 150 tysięcy komputerów na całym świecie. Przypadki infekcji odnotowano w ponad stu krajach. Oczywiście globalna infekcja została zatrzymana, ale szkody są liczone w milionach. Fale oprogramowania ransomware nadal atakują niektóre pojedyncze maszyny, ale plaga została jak dotąd powstrzymana i zatrzymana.

WannaCry – co to jest i jak się przed nim chronić

Deszyfrator Wanna należy do grupy wirusów szyfrujących dane na komputerze i wyłudzających pieniądze od właściciela. Zazwyczaj kwota okupu za dane waha się od 300 do 600 dolarów. W ciągu jednego dnia wirusowi udało się zainfekować miejską sieć szpitali w Wielkiej Brytanii, dużą sieć telewizyjną w Europie, a nawet część komputerów rosyjskiego Ministerstwa Spraw Wewnętrznych. Zatrzymali go dzięki szczęśliwemu zbiegowi okoliczności, rejestrując domenę weryfikacyjną, która została wbudowana w kod wirusa przez jego twórców, aby ręcznie zatrzymać rozprzestrzenianie się.

Wirus infekuje komputer w taki sam sposób, jak w większości innych przypadków. Wysyłanie listów, profili społecznościowych i po prostu surfowanie - metody te dają wirusowi możliwość przeniknięcia do systemu i zaszyfrowania wszystkich danych, ale może przedostać się bez Twoich wyraźnych działań poprzez lukę w zabezpieczeniach systemu i otwarty port.

WannaCry penetruje port 445, wykorzystując lukę w zabezpieczeniach system operacyjny System Windows, który został niedawno zamknięty przez wydane aktualizacje. Jeśli więc ten port jest dla Ciebie zamknięty lub niedawno zaktualizowałeś system Windows z biura. site, nie musisz się martwić infekcją.

Wirus działa według następującego schematu: zamiast danych w swoich plikach otrzymujesz niezrozumiałe zawijasy w języku marsjańskim, ale żeby znów mieć normalny komputer, będziesz musiał zapłacić atakującym. Ci, którzy spuścili tę plagę na komputery zwykłych ludzi, płacą bitcoinami, więc identyfikacja właścicieli złego trojana nie będzie możliwa. Jeśli nie zapłacisz w ciągu 24 godzin, kwota okupu wzrośnie.

Nowa wersja trojana tłumaczy się jako „chcę płakać”, a utrata danych może doprowadzić niektórych użytkowników do łez. Dlatego lepiej podjąć środki zapobiegawcze i zapobiec infekcji.

Ransomware wykorzystuje lukę w zabezpieczeniach systemu Windows, którą firma Microsoft już naprawiła. Wystarczy zaktualizować system operacyjny do protokołu bezpieczeństwa MS17-010 z dnia 14 marca 2017 r.

Nawiasem mówiąc, tylko ci użytkownicy, którzy mają licencjonowany system operacyjny, mogą aktualizować. Jeśli nie jesteś jedną z tych osób, po prostu pobierz pakiet aktualizacji i zainstaluj go ręcznie. Wystarczy pobrać z zaufanych zasobów, aby nie złapać infekcji zamiast zapobiegać.

Oczywiście ochrona może być na najwyższym poziomie, jednak wiele zależy od samego użytkownika. Pamiętaj, aby nie otwierać podejrzanych linków, które przychodzą do Ciebie e-mailem lub na Twoim profilu społecznościowym.

Jak wyleczyć wirusa deszyfrującego Wanna

Osoby, których komputery zostały już zainfekowane, powinny przygotować się na długi proces leczenia.

Wirus działa na komputerze użytkownika i tworzy kilka programów. Jeden z nich zaczyna szyfrować dane, drugi zapewnia komunikację z oprogramowaniem ransomware. Na Twoim monitorze w pracy pojawia się napis wyjaśniający, że padłeś ofiarą wirusa i oferujący szybki przelew pieniędzy. Jednocześnie nie można otworzyć pojedynczego pliku, a rozszerzenia składają się z niezrozumiałych liter.

Pierwszą akcją, którą próbuje podjąć użytkownik, jest odzyskanie danych za pomocą usług wbudowanych w system Windows. Ale kiedy uruchomisz polecenie, albo nic się nie stanie, albo twoje wysiłki pójdą na marne - pozbycie się Wanna Decryptor nie jest takie proste.

Jednym z najprostszych sposobów wyleczenia wirusa jest po prostu ponowna instalacja systemu. W takim przypadku stracisz nie tylko dane, które znajdowały się na dysku z zainstalowanym systemem. W końcu, aby uzyskać pełne odzyskanie, będziesz musiał wszystko sformatować twardy dysk. Jeśli nie jesteś gotowy na podjęcie tak drastycznych kroków, możesz spróbować wyleczyć system ręcznie:

1. Pobierz aktualizację systemu opisaną powyżej w artykule.
2. Następnie odłącz się od Internetu
3. Uruchamiamy wiersz poleceń cmd i blokujemy port 445, przez który wirus przedostaje się do komputera. Odbywa się to za pomocą następującego polecenia:
   netsh advfirewall zapora dodaj regułę katalog=w akcji=blokuj protokół=tcp port lokalny=445 nazwa=»Block_TCP-445″
4. Następnie uruchamiamy system w tryb bezpieczeństwa. Podczas ładowania przytrzymaj klawisz F8, sam system zapyta, jak dokładnie uruchomić komputer. Musisz wybrać „Tryb awaryjny”.
5. Znajdujemy i usuwamy folder z wirusem, można go znaleźć klikając na skrót wirusa i klikając „Lokalizacja pliku”.
6. Ponownie uruchamiamy komputer w trybie normalnym i instalujemy aktualizację pobranego systemu, włączamy Internet i instalujemy.

Chcę płakać – jak odszyfrować pliki

Jeśli całkowicie pozbyłeś się wszystkich przejawów wirusa, czas rozpocząć odszyfrowywanie danych. A jeśli myślisz, że najtrudniejsza część już za nami, to bardzo się mylisz. Jest nawet przypadek w historii, gdy twórcy ransomware sami nie byli w stanie pomóc użytkownikowi, który je zapłacił i wysłał go do serwisu pomoc techniczna program antywirusowy.

Najlepszą opcją jest usunięcie wszystkich danych i plików . Ale jeśli nie ma takiej kopii, będziesz musiał się kręcić. Pomogą Ci programy deszyfrujące. To prawda, że ​​​​żaden program nie gwarantuje stuprocentowych wyników.

Istnieje kilka prostych programów, które poradzą sobie z odszyfrowaniem danych - na przykład Shadow Explorer lub Windows Data Recovery. Warto także zajrzeć do Kaspersky Lab, który okresowo udostępnia deszyfratory - http://support.kaspersky.ru/viruses/utility

Bardzo ważne! Uruchamiaj programy deszyfrujące dopiero po usunięciu wszystkich przejawów wirusa, w przeciwnym razie ryzykujesz uszkodzenie systemu lub ponowną utratę danych.

Deszyfrator Wanna pokazał, jak kruchy może być system bezpieczeństwa każdego dużego przedsiębiorstwa, a nawet agencji rządowej. Tak więc miesiąc maj stał się orientacyjny dla wielu krajów. Nawiasem mówiąc, w rosyjskim Ministerstwie Spraw Wewnętrznych problem dotyczył tylko komputerów korzystających z systemu Windows, ale nie dotyczył komputerów, na których zainstalowano opracowany w Rosji system operacyjny Elbrus.

W jakich metodach leczenia pomógł Ci deszyfrator Wanna? Napisz komentarz do tego artykułu i udostępnij go innym.

Zapisz się na nowe artykuły, aby ich nie przegapić!

Nowy wirus szyfrujący WannaCry lub WanaDecryptor 2.0, który zamiast danych użytkownika pozostawia zaszyfrowane pliki .wncry, wstrząsa Internetem. Problemem dotknięte są setki tysięcy komputerów i laptopów na całym świecie. Nie tylko oni zostali dotknięci zwykli użytkownicy, ale sieci tak dużych firm, jak Sbierbank, Rostelecom, Beeline, Megafon, Koleje Rosyjskie, a nawet Ministerstwo Spraw Wewnętrznych Rosji.

Tak szerokie rozprzestrzenianie się wirusa ransomware zapewniło wykorzystanie nowych luk w systemach operacyjnych Windows, które zostały odtajnione w dokumentach amerykańskich służb wywiadowczych.

WanaDecryptor, Wanna Cry, WanaCrypt czy Wana Decryptor - która nazwa jest poprawna?

W momencie, gdy rozpoczął się wirusowy atak na globalną sieć, nikt nie wiedział dokładnie, jak nazywała się nowa infekcja. Najpierw do niej zadzwonili Wana Odszyfruj0r po nazwie okna wiadomości, które pojawiło się na pulpicie. Nieco później pojawiła się nowa modyfikacja programu szyfrującego - Chcę odszyfrować 0r 2.0. Ale znowu jest to okno ransomware, które w rzeczywistości sprzedaje użytkownikowi klucz deszyfrujący, który teoretycznie powinien trafić do ofiary po tym, jak przekaże oszustom wymaganą kwotę. Sam wirus, jak się okazuje, nazywa się Chcę płakać(Krawędź wanny).
W Internecie nadal można znaleźć różne jego nazwy. Co więcej, użytkownicy często umieszczają cyfrę „0” zamiast litery „o” i odwrotnie. Duże zamieszanie powodują także różne manipulacje spacjami, na przykład WanaDecryptor i Wana Decryptor, czy WannaCry i Wanna Cry.

Jak działa WanaDecryptor

Zasada działania tego ransomware zasadniczo różni się od poprzednich wirusów ransomware, z którymi się zetknęliśmy. Wcześniej, aby infekcja zaczęła działać na komputerze, należało ją najpierw uruchomić. Oznacza to, że długouchy użytkownik otrzymał pocztą list ze sprytnym załącznikiem - skrypt udający jakiś dokument. Osoba uruchomiła plik wykonywalny i w ten sposób aktywowała infekcję systemu operacyjnego. Wirus Bath Edge działa inaczej. Nie musi próbować oszukać użytkownika, wystarczy, że ma dostęp do krytycznej luki usługi udostępniania plików SMBv1 za pośrednictwem portu 445. Swoją drogą, luka ta stała się dostępna dzięki informacjom z archiwów amerykańskich agencji wywiadowczych opublikowanym na portalu wikileaks.
Po dostaniu się na komputer ofiary WannaCrypt rozpoczyna masowe szyfrowanie plików przy użyciu swojego bardzo silnego algorytmu. Dotyczy to głównie następujących formatów:

klucz, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, surowy, gif, png, bmp, jpg, jpeg, vcd, iso, kopia zapasowa, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Rozszerzenie zaszyfrowanego pliku zmienia się na .wncry. Wirus ransomware może dodać dwa dodatkowe pliki do każdego folderu. Pierwsza to instrukcja opisująca sposób odszyfrowania pliku wncry Please_Read_Me.txt, a druga to aplikacja deszyfrująca WanaDecryptor.exe.
Ta paskudna rzecz działa cicho i spokojnie, dopóki nie zaatakuje całego dysku twardego, po czym wyświetli okno WanaDecrypt0r 2.0 z żądaniem pieniędzy. Jeżeli użytkownik nie pozwolił na dokończenie programu i program antywirusowy był w stanie usunąć program szyfrujący, na pulpicie pojawi się następujący komunikat:

Oznacza to, że użytkownik jest ostrzegany, że miało to już wpływ na niektóre jego pliki i jeśli chcesz je odzyskać, zwróć program szyfrujący. Tak, teraz! Nie rób tego pod żadnym pozorem, bo inaczej stracisz resztę. Uwaga! Nikt nie wie, jak odszyfrować pliki WNCRY. Do widzenia. Być może później pojawi się jakieś narzędzie do odszyfrowywania - poczekamy i zobaczymy.

Ochrona przed wirusem Wanna Cry

Ogólnie rzecz biorąc, łatka Microsoft MS17-010 zapewniająca ochronę przed oprogramowaniem ransomware Wanna Decryptor została wydana 12 maja i jeśli usługa Windows Update działa normalnie na Twoim komputerze, to
Najprawdopodobniej system operacyjny jest już chroniony. W przeciwnym razie musisz pobrać tę poprawkę Microsoft dla swojej wersji systemu Windows i ją pilnie zainstalować.
W takiej sytuacji wskazane jest całkowite wyłączenie obsługi protokołu SMBv1. Przynajmniej do czasu, gdy fala epidemii ustąpi i sytuacja się uspokoi. Można to zrobić albo z wiersza poleceń z uprawnieniami administratora, wpisując polecenie:

dism /online /norestart /wyłącz-funkcję /nazwafunkcji:Protokół SMB1

Lub przez panel Zarządzanie Windowsem. Tam musisz przejść do sekcji „Programy i funkcje”, wybrać z menu „Włącz lub wyłącz funkcje systemu Windows”. Pojawi się okno:

Znajdź element „Wsparcie dla udostępniania plików SMB 1.0/CIFS”, odznacz go i kliknij „OK”.

Jeśli nagle pojawią się problemy z wyłączeniem obsługi SMBv1, to aby zabezpieczyć się przed Wanacrypt0r 2.0, możesz wybrać inną drogę. Utwórz regułę w zaporze sieciowej używanej w systemie, która blokuje porty 135 i 445. W przypadku standardowej zapory systemu Windows wpisz w wierszu poleceń następujące polecenie:

netsh advfirewall zapora sieciowa dodaj regułę katalog=w akcji=blokuj protokół=port lokalny TCP=135 nazwa=»Zamknij_TCP-135″
netsh advfirewall dodaj regułę katalog=w akcji=blokuj protokół=TCP port lokalny=445 nazwa=»Zamknij_TCP-445″

Inną opcją jest skorzystanie ze specjalnego bezpłatnego Aplikacja WindowsowaŚrodek do czyszczenia drzwi robaków:

Nie wymaga instalacji i pozwala w łatwy sposób zamknąć luki w systemie, przez które może przedostać się do niego wirus szyfrujący.

Nie możemy oczywiście zapomnieć o ochronie antywirusowej. Używaj wyłącznie sprawdzonych produktów antywirusowych - DrWeb, Kaspersky Internet Security, E-SET Nod32. Jeśli masz już zainstalowany program antywirusowy, pamiętaj o aktualizacji jego bazy danych:

Na koniec dam ci małą radę. Jeśli masz bardzo ważne dane, których utrata jest wyjątkowo niepożądana, zapisz je na wymiennym dysku twardym i umieść w szafie. Przynajmniej na czas epidemii. Tylko w ten sposób można w jakiś sposób zagwarantować im bezpieczeństwo, bo nikt nie wie, jaka będzie kolejna modyfikacja.

To krypto ransomware szyfruje dane użytkowników za pomocą AES, a następnie żąda okupu w wysokości 200 dolarów w BTC, aby odzyskać pliki. Tytuł oryginalny: Cryptre. W pliku jest napisane: brak danych.

© Genealogia: >> Krypta

Rozszerzenie jest dodawane do zaszyfrowanych plików zaszyfrowane, ale nie do końca pliku, ale pomiędzy oryginalną nazwą a oryginalnym rozszerzeniem pliku zgodnie ze wzorcem oryginalna_nazwa_pliku zaszyfrowane.oryginalne_rozszerzenie_pliku.

Uwaga! Nowe rozszerzenia, e-maile i SMS-y z żądaniem okupu można znaleźć na końcu artykułu, w aktualizacjach. Mogą występować różnice w stosunku do wersji oryginalnej.

To krypto-ransomware było aktywne w połowie grudnia 2018 roku. Jest skierowane do użytkowników anglojęzycznych, co nie przeszkadza w jego dystrybucji na całym świecie.

Na ekranie blokady pojawia się żądanie okupu:

Treść tekstu z żądaniem okupu:
Twoje pliki zostały bezpiecznie zaszyfrowane

Jedynym sposobem na odzyskanie plików jest zakup klucza deszyfrującego
Metoda płatności to: Bitcoiny. Cena wynosi: 200 $ = 0,05718488 Bitcoinów
Kliknij przycisk „Kup klucz odszyfrowywania”.

Tłumaczenietekstna rosyjski:
Twoje pliki są bezpiecznie zaszyfrowane
[Kup Bitcoiny] [Odszyfruj pliki]
[Klucz odszyfrowywania]
Jedynym sposobem na odzyskanie plików jest zakup klucza deszyfrującego
Metoda płatności: Bitcoiny. Cena: 200 dolarów = 0,05718488 Bitcoina.
Kliknij przycisk" Kup klucz deszyfrujący" .

Szczegóły techniczne

Może się rozprzestrzeniać poprzez włamanie się do niezabezpieczonej konfiguracji RDP, spam e-mailowy i złośliwe załączniki, oszukańcze pliki do pobrania, botnety, exploity, wstrzykiwania internetowe, fałszywe aktualizacje, przepakowane i zainfekowane instalatory. Zobacz także „Główne sposoby rozprzestrzeniania się kryptograficznego ransomware” na stronie wprowadzającej bloga.

Jeśli zaniedbujesz kompleksową ochronę antywirusową klasy Internet Security lub Total Security, to chociaż wykonaj kopię zapasową ważnych plików tą metodą 3-2-1 .


Usuwa kopie w tle plików, wyłącza funkcje odzyskiwania i naprawy systemu Windows na etapie uruchamiania za pomocą poleceń:
Linia poleceń >>
vssadmin.exe Usuń cienie /Wszystkie /Ciche
bcdedit /set (domyślnie) włączone odzyskiwanie Nie
bcdedit /set (domyślnie) bootstatuspolicy ignorowane

Lista rozszerzeń plików, które są zaszyfrowane:
Są to dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, zdjęcia, muzyka, filmy, pliki obrazów, archiwa itp.

Pliki powiązane z tym ransomware:
Windows Update.exe
.exe - losowa nazwa

Lokalizacje:
\Pulpit\ ->
\Folder_użytkownika\ ->
\%TEMP%\ ->

Wpisy rejestru powiązane z tym ransomware:


Połączenia sieciowe i połączenia:
Zobacz aktualizacje poniżej dla innych adresów i kontaktów.
Zobacz wyniki testu poniżej.

Wyniki testu:
Ⓗ Analiza hybrydowa >>
𝚺

Jeżeli komputer z systemem operacyjnym Windows nie został ponownie uruchomiony, wówczas znajdujące się na nim dane można zapisać z pominięciem okupu wymaganego przez wirusa WannaCry. Klucz do rozwiązania leży w samym systemie operacyjnym, twierdzą specjalista ds. bezpieczeństwa internetowego Quarkslab Adrien Guinet, światowej sławy haker Matt Suiche i freelancer Benjamin Delpy. Sam system zapobiega zniszczeniu plików po upływie wyznaczonego terminu zapłaty okupu. Ta metoda jest używana we wszystkich wersjach systemu Windows. Eksperci nazwali nowe narzędzie do zapisywania danych Wanakiwi. W jego blogu Matt Suich opublikował szczegóły stosowania otwartej metody zwalczania wirusa, opisując wszystkie szczegóły techniczne.

Nie wszystkich plików nie da się odzyskać

To wyjaśnia, dlaczego pojawiły się twierdzenia, że ​​dostępne są pewne narzędzia do odszyfrowania wszystkich plików zablokowanych przez WannaCry. Niestety, z naszej analizy działania tego ransomware wynika, że ​​narzędzie może odszyfrować tylko kilka plików zaszyfrowanych kluczem demonstracyjnym.

Ale może jest jakaś nadzieja. Pliki przechowywane na pulpicie, w Moich dokumentach lub na dyskach wymiennych komputera podczas infekcji są nadpisywane losowo wygenerowanymi danymi i usuwane. Oznacza to, że nie można ich odzyskać za pomocą funkcji Odzyskiwanie plików lub Odzyskiwanie dysku.

Jednakże ze względu na możliwe słabości szkodliwego oprogramowania możliwe jest odzyskanie innych zaszyfrowanych plików w systemie, jeśli zostały zapisane poza tymi trzema lokalizacjami, przy użyciu narzędzia do odzyskiwania dysku, ponieważ większość plików jest przenoszona do folderu tymczasowego, a następnie zazwyczaj usuwana. ale nie jest nadpisywany przez program czyszczący. Jednak szybkość odzyskiwania może się różnić w zależności od systemu, ponieważ usunięty plik może zostać nadpisany przez inne operacje na dysku.

Krótko mówiąc, możliwe jest odzyskanie niektórych plików, które zostały zaszyfrowane za pomocą WannaCrypt, ale nie zapłaciły okupu, ale odzyskanie wszystkich plików bez kopii zapasowej obecnie wydaje się niemożliwe.

Ze względów bezpieczeństwa uważaj na wszelkie usługi oferujące odszyfrowanie wszystkich plików itp., ponieważ te narzędzia odszyfrowujące mogą równie dobrze być ukryte przez złośliwe oprogramowanie.

Przetestowaliśmy odzyskiwanie plików za pomocą narzędzia do odzyskiwania dysku Disk Drill. Poniższy zrzut ekranu pokazuje usunięte pliki, które zostały wykryte i odzyskane za pomocą tego narzędzia:

Czasami twórcy oprogramowania ransomware popełniają błędy w swoim kodzie. Błędy te mogą pomóc ofiarom odzyskać dostęp do swoich plików po infekcji. W naszym artykule krótko opisano kilka błędów popełnionych przez twórców ransomware WannaCry.

Błędy w logice usuwania plików

Kiedy Wannacry szyfruje pliki na komputerze ofiary, odczytuje zawartość oryginalnego pliku, szyfruje go i zapisuje w pliku z rozszerzeniem „.WNCRYT”. Po zakończeniu procesu szyfrowania przenosi plik z rozszerzeniem „.WNCRYT” do pliku „.WNCRY” i usuwa plik oryginalny. Logika stojąca za tym usunięciem może się różnić w zależności od lokalizacji i właściwości oryginalnych plików.

Podczas lokalizowania plików na dysku systemowym:

Jeśli plik znajduje się w „ważnym” folderze (z punktu widzenia twórców ransomware, na przykład na pulpicie lub w folderze Dokumenty), to zanim zostanie usunięty, zostaną na nim zapisane losowe dane. W takim przypadku nie ma możliwości przywrócenia zawartości oryginalnego pliku.

Jeśli plik jest przechowywany poza „ważnymi” folderami, oryginalny plik zostanie przeniesiony do folderu %TEMP%\%d.WNCRYT (gdzie %d jest wartością liczbową). Taki plik zawiera oryginalne dane, na których nic nie jest zapisywane - jest po prostu usuwany z dysku. Dlatego istnieje duże prawdopodobieństwo, że uda się je odzyskać za pomocą programów do odzyskiwania danych.

Zmieniono nazwy oryginalnych plików, które można przywrócić z katalogu %TEMP%.

Podczas lokalizowania plików na innych dyskach (niesystemowych):

• Ransomware tworzy folder „$RECYCLE” i przypisuje mu atrybuty „ukryty” i „systemowy”. W rezultacie folder staje się niewidoczny w Eksploratorze Windows, jeśli konfiguracja Eksploratora jest ustawiona na domyślną. Zgodnie z planem oryginalne pliki zostaną przeniesione do tego folderu po zaszyfrowaniu.

Procedura definiowania katalogu tymczasowego do przechowywania oryginalnych plików przed usunięciem

• Jednak z powodu błędów synchronizacji w kodzie ransomware oryginalne pliki w wielu przypadkach pozostają w tym samym katalogu i nie są przenoszone do folderu $RECYCLE.
• Oryginalne pliki nie są bezpiecznie usuwane. Fakt ten umożliwia odzyskanie usuniętych plików za pomocą programów do odzyskiwania danych.

Oryginalne pliki, które można odzyskać z dysku innego niż systemowy

Procedura generująca tymczasową ścieżkę do oryginalnego pliku

Sekcja kodu wywołująca procedury opisane powyżej

Błąd podczas przetwarzania plików chronionych przed zapisem

Analizując WannaCry, odkryliśmy również, że ransomware miał błąd podczas przetwarzania plików chronionych przed zapisem. Jeśli na zainfekowanym komputerze znajdują się takie pliki, ransomware w ogóle ich nie zaszyfruje: zostaną utworzone zaszyfrowane kopie każdego takiego pliku, a same oryginalne pliki otrzymają jedynie atrybut „ukryty”. W takim przypadku można je łatwo znaleźć i przywrócić ich normalne atrybuty.

Oryginalne pliki chronione przed zapisem nie są szyfrowane i nie są nigdzie przenoszone

wnioski

W wyniku naszej dogłębnej analizy tego oprogramowania ransomware stało się jasne, że jego twórcy popełnili wiele błędów, a jakość kodu jest dość niska, jak zauważyliśmy powyżej.

Jeśli Twój komputer został zainfekowany oprogramowaniem ransomware WannaCry, istnieje duża szansa, że ​​uda Ci się odzyskać wiele zaszyfrowanych plików. Aby to zrobić, możesz skorzystać z bezpłatnych narzędzi do odzyskiwania plików.