Cum să decriptați fișierele după virusul wanna cry. Cum să te protejezi de virusul wanna cry. Nu este vina Microsoft. WannaCry - vai de Microsoft sau „PR” accidental

Specialistul companiei franceze Quarkslab, Adrien Guinet, raportează că a găsit o modalitate de a decripta datele deteriorate de un atac ransomware. Din păcate, această metodă funcționează doar pentru sistemul de operare Windows XP și nu în toate cazurile, dar este mai bine decât nimic.

Trebuie să termin procesul complet de decriptare, dar confirm că, în acest caz, cheia privată poate fi recuperată pe un sistem XP #wannacry!! pic.twitter.com/QiB3Q1NYpS

Guinier a publicat codul sursă pentru un instrument pe care l-a numit WannaKey pe GitHub. Tehnica cercetătorului se bazează, de fapt, pe exploatarea unui bug destul de ciudat și puțin cunoscut în Windows XP, despre care nici autorii senzaționalului malware ransomware nu păreau să știe. Faptul este că, în anumite circumstanțe, este posibilă extragerea cheii necesare pentru „salvarea” fișierelor din memoria unei mașini care rulează XP.

Cercetătorul explică că în timpul funcționării, ransomware-ul folosește API-ul Windows Crypto și generează o pereche de chei - una publică, care este folosită pentru a cripta fișierele, și una privată, care poate fi folosită pentru a decripta fișierele după plata răscumpărării. Pentru a împiedica victimele să ajungă la cheia privată și să decripteze datele din timp, autorii WannaCry criptează cheia în sine, astfel încât să devină disponibilă numai după plată.

După ce cheia a fost criptată, versiunea sa necriptată este ștearsă folosind funcția standard CryptReleaseContext, care, în teorie, ar trebui să o elimine și din memoria mașinii infectate. Cu toate acestea, Guinier a remarcat că acest lucru nu se întâmplă, doar „marcatorul” care indică cheia este eliminat.

Specialistul scrie că se poate extrage cheia privată din memorie. Guinier însuși a efectuat o serie de teste și a decriptat cu succes fișierele pe mai multe computere infectate care rulează Windows XP. Totuși, cercetătorul scrie că pentru un rezultat cu succes al operației, trebuie îndeplinite o serie de condiții. Deoarece cheia este stocată numai în memoria volatilă, trebuie să fiți atenți nu numai la faptul că orice proces ar putea suprascrie accidental datele de deasupra cheii și memoria va fi redistribuită, dar nu trebuie să opriți și să reporniți computerul. dupa infectare.

„Dacă ai noroc, vei putea accesa aceste zone de memorie și vei putea recupera cheia. Este posibil să fie încă acolo și îl puteți folosi pentru a vă decripta fișierele. Dar acest lucru nu funcționează în toate cazurile”, scrie cercetătorul.

Nu se știe câte computere care rulează Windows XP au fost infectate de WannaCry și ce procent de utilizatori nu și-au repornit niciodată sau și-au oprit computerul după infectare. Permiteți-mi să vă reamintesc că în total sute de mii de mașini au fost afectate de atacuri ransomware în peste o sută de țări din întreaga lume. Cu toate acestea, Guinier speră că tehnica sa ar putea fi utilă cel puțin unor utilizatori.

Alți experți au confirmat deja că, teoretic, instrumentul Guinier ar trebui să funcționeze. Astfel, celebrul criptograf și profesor la Universitatea Johns Hopkins Matthew Green scrie că metoda ar trebui să funcționeze, deși în circumstanțele actuale totul seamănă mai mult cu o loterie. Un alt specialist cunoscut, un angajat al companiei F-Secure, Mikko Hypponen, pune întrebarea „de ce să folosiți o funcție care nu distruge cheile pentru a distruge cheile?”, este totuși de acord că bug-ul poate fi folosit pentru a recupera criptarea. fișiere.

Virusul WannaCry este un program ransomware care utilizează exploit-ul EternalBlue pentru a infecta computerele care rulează sistemul de operare Microsoft Windows. Ransomware-ul este cunoscut și ca WannaCrypt0r, WannaCryptor, WCry și Wana Decrypt0r. Odată ce atinge computerul țintă, criptează rapid toate fișierele și le etichetează cu una dintre următoarele extensii: .wcry, .wncrytŞi .wncry.

Virusul face datele inutile folosind o criptare puternică, schimbă imaginea de fundal de pe desktop, creează o notă de răscumpărare „Please Read Me!.txt” și apoi lansează o fereastră de program numită „WannaDecrypt0r” care raportează că fișierele de pe computer au fost criptate. Malware-ul solicită victimei să plătească o răscumpărare de la 300 la 600 USD în Bitcoin și promite că va șterge toate fișierele dacă victima nu plătește banii în termen de 7 zile.

Programul malware șterge copiile umbra pentru a preveni recuperarea datelor criptate. În plus, ransomware-ul acționează ca un vierme, deoarece odată ce aterizează pe computerul țintă, începe să caute alte computere pentru a infecta.

Chiar dacă virusul promite să vă restaureze fișierele după plată, nu există niciun motiv să aveți încredere în criminali. Echipa site-ului recomandă eliminarea ransomware-ului în modul sigur folosind drivere de rețea, folosind programe anti-malware precum .

Criminalii cibernetici au folosit acest ransomware într-un atac cibernetic masiv care a fost lansat vineri, 12 mai 2017. Potrivit rapoartelor recente, atacul rău intenționat a afectat cu succes peste 230.000 de computere din peste 150 de țări.

Impactul unui atac cibernetic este îngrozitor, deoarece virusul vizează organizații din diferite sectoare, asistența medicală pare să fie cea mai grav afectată. Din cauza atacului, diverse servicii spitalicești au fost suspendate, cu sute de intervenții chirurgicale anulate. Primele companii majore care au fost lovite de cumpărare au fost Telefonica, Gas Natural și Iberdrola, potrivit rapoartelor.

Unele dintre companiile afectate au avut copii de siguranță ale datelor, în timp ce altele s-au confruntat cu consecințe tragice. Fără excepție, toate victimele sunt sfătuite să elimine WannaCry cât mai curând posibil, deoarece acest lucru poate ajuta la prevenirea răspândirii în continuare a ransomware-ului.

WannaCry se răspândește folosind exploit EternalBlue

Principalul vector de infecție al ransomware-ului WannaCry este exploit-ul EternalBlue, care este un program spion cibernetic furat de la Agenția de Securitate Națională a SUA (NSA) și publicat online de un grup de hackeri cunoscuți sub numele de Shadow Brokers.

Atacul EternalBlue vizează vulnerabilitatea Windows CVE-2017-0145 din protocolul Microsoft SMB (Server Message Block). Vulnerabilitatea a fost corectată acum, conform buletinului de securitate Microsoft MS17-010 (lansat pe 14 mai 2017). Codul de exploatare folosit de executori a fost destinat să infecteze sistemele vechi Windows 7 și Windows Server 2008, dar utilizatorii Windows 10 ar putea să nu fie afectați de virus.

Malware-ul vine de obicei sub forma unui dropper troian care conține un set de exploit-uri și ransomware-ul în sine. Dropperul încearcă apoi să se conecteze la unul dintre serverele de la distanță pentru a descărca ransomware-ul pe computer. Cele mai recente versiuni de WannaCry sunt distribuite prin girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 în regiunea APAC. Ransomware-ul poate afecta pe oricine nu are cunoștințe despre distribuția de ransomware, așa că vă recomandăm să citiți acest ghid pentru prevenirea ransomware-ului WannaCry, pregătit de experții noștri:

1. Instalați actualizarea de securitate a sistemului MS17-010, lansată recent de Microsoft, care va remedia vulnerabilitatea exploatată de ransomware. Actualizările au fost lansate exclusiv pentru sisteme de operare mai vechi, cum ar fi Windows XP sau Windows 2003.
2. Rămâi la curent pentru actualizări ale altor programe de calculator.
3. Instalați un instrument antivirus de încredere pentru a vă proteja computerul de încercările ilegale de a vă infecta sistemul cu programe malware.
4. Nu deschide niciodată e-mailuri care vin de la străini sau companii cu care nu faci afaceri.
5. Dezactivați SMBv1 utilizând instrucțiunile furnizate de Microsoft.

Cercetătorul arată capturi de ecran făcute în timpul atacului WannaCry. Puteți vedea fereastra Wanna Decrypt0r, precum și imaginea setată de WannaCry ca fundal pentru desktop după infectarea sistemului și criptarea tuturor fișierelor de pe acesta.
Metoda 1. (Mod sigur)
Selectați „Mod sigur cu rețea” Metoda 1. (Mod sigur)
Selectați „Activați modul sigur cu rețea”

Selectați „Mod sigur cu linie de comandă” Metoda 2. (Restaurare sistem)
Selectați „Activați modul sigur cu linia de comandă”
Metoda 2. (Restaurare sistem)
Tastați „cd restore” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
În fereastra „System Restore” care apare, selectați „Next”
Metoda 2. (Restaurare sistem)
Selectați punctul de restaurare și faceți clic pe „Următorul”
Metoda 2. (Restaurare sistem)
Faceți clic pe „Da” și începeți recuperarea sistemului ⇦ ⇨

Slide 1 din 10

Versiunile WannaCry

Virusul folosește cifrul criptografic AES-128 pentru a bloca în siguranță fișierele, adaugă extensia de fișier .wcry la numele acestora și cere să transfere 0,1 Bitcoin în portofelul virtual furnizat. Malware-ul a fost distribuit inițial prin e-mailuri spam; Cu toate acestea, acest virus special nu a generat prea multe venituri pentru dezvoltatorii săi. În ciuda faptului că fișierele criptate de acest ransomware s-au dovedit a fi irecuperabile fără o cheie de decriptare, dezvoltatorii au decis să actualizeze programul rău intenționat.

Virusul ransomware WannaCrypt0r. Acesta este un alt nume pentru versiunea actualizată a ransomware-ului. Noua versiune vizează vulnerabilitățile Windows ca principal vector de atac și criptează toate fișierele stocate în sistem în câteva secunde. Fișierele infectate pot fi recunoscute prin extensiile adăugate la numele fișierului imediat după numele fișierului original - .wncry, wncryt sau .wcry.

Nu există nicio modalitate de a recupera datele deteriorate fără copii de rezervă sau o cheie privată creată în timpul procesului de criptare a datelor. Virusul cere de obicei 300 de dolari, deși crește prețul răscumpărării la 600 de dolari dacă victima nu plătește banii în trei zile.

Virusul ransomware WannaDecrypt0r. WannaDecrypt0r este un program pe care virusul îl rulează după ce s-a infiltrat cu succes în sistemul țintă. Cercetătorii au observat deja că versiunile Wanna Decryptor 1.0 și Wanna Decryptor 2.0 se apropie de victime.

Malware-ul afișează un ceas de numărătoare inversă care arată cât timp a mai rămas pentru a plăti răscumpărarea înainte ca prețul acesteia să atingă valoarea maximă, precum și un ceas de numărătoare inversă identică care arată cât timp a mai rămas până când virusul șterge toate datele de pe un computer. Această versiune a șocat comunitatea virtuală pe 12 mai 2017, deși câteva zile mai târziu a fost oprită de un cercetător în securitate care poartă numele de MalwareTech.

Cutie cu nisip

Comandantul navei 18 mai 2017 la 09:52

Cum să recuperați fișierele după criptarea virusului ransomware WannaCry

Bună ziua, Habrazhiteliki. S-au scris multe despre Habré despre cum să te protejezi de WannaCry. Dar din anumite motive, nicăieri nu a fost explicat cum să returnezi datele criptate. Vreau să umplu acest gol. Și a aruncat puțină lumină asupra modului în care am făcut acest lucru în compania noastră „cunoscută” implicată în logistică. Aceasta este mai mult o instrucțiune pentru administratorii noștri de securitate a informațiilor.

Recuperare după criptarea datelor

Aceasta nu este decriptare, ci mai degrabă recuperare. Și funcționează numai dacă copiarea umbră este activată în Windows, adică. Datele pot fi restaurate chiar din punctele de restaurare Windows.

Pentru a face acest lucru, puteți utiliza utilitarul ShadowExplorer - este gratuit și vă permite să restaurați fișierele din punctele de recuperare. Punctele de restaurare sunt create de fiecare dată când sistemul este actualizat, iar cele vechi sunt suprascrise cu altele noi. Numărul de puncte depinde de spațiul alocat punctelor de recuperare. În medie, 5-6 dintre ele sunt stocate pe Windows mediu.

Selectați un punct de recuperare și puteți exporta fișiere și directoare în locația de care aveți nevoie:

Selectați acele fișiere care nu sunt încă criptate și exportați-le în locația de care aveți nevoie.

(În unele cazuri, când actualizarea a trecut deja, acele puncte de recuperare pot fi suprascrise atunci când fișierele nu au fost încă criptate. De asemenea, este posibil ca unele dintre date să fie deja criptate în punctele de recuperare, dar unele să nu fie încă criptate. trebuie să restaurați numai ceea ce poate fi restaurat.)

Asta, în principiu, este tot ceea ce este necesar pentru restaurare, acolo unde este posibil.

Important! După restaurarea fișierelor, trebuie să ștergeți acele puncte de recuperare în care datele au fost deja criptate. S-a observat că aici virusul se restabilește după curățare.

Recuperați datele, precum și neutralizați și eliminați virusul:

1. Deconectați computerul de la rețea
2. În continuare, trebuie să utilizați utilitarul wann_kill_v_(numărul versiunii) - acest utilitar oprește procesul virusului. Semnăturile virușilor rămân stocate în sistem. Facem asta pentru că când aduceți o unitate flash pe computer care trebuie dezinfectată, virusul criptează unitatea flash. Este important să rulați acest utilitar înainte ca virusul să intre pe unitatea flash.

3. Curățați-vă computerul folosind DrWeb CureIt (aici virusul însuși este eliminat de pe computer)
4. Recuperați datele de care aveți nevoie așa cum este descris mai sus „ După criptarea datelor»
5. (Numai după recuperarea datelor) Distrugeți punctele de recuperare, deoarece aici virusul se restabilește după curățare.

Protecția sistemului:

Ton:

Şterge.

6. Apoi lansați patch-ul KB4012212, închizând astfel vulnerabilitatea rețelei MS17-010
7. Porniți rețeaua și instalați (sau actualizați) software-ul antivirus.

Practic, așa am luptat cu virusul Wanna Cry.

Etichete: WannaCry, Decriptare

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitarul antivirus detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nu putem spune nimic liniștitor în acest moment. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, expert în securitate informatică, în momentul de față infractorii au primit doar 26.000 USD, adică doar aproximativ 58 de persoane au fost de acord să plătească răscumpărarea extorsionorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe Firewall, prin care apare infecția.