Meniu
AcasăExcela

Noul virus ransomware vrea să plângă. Cine este expus riscului unui atac WannaCry și cum să vă protejați împotriva acestuia. Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Nu este nevoie de mult - instalați actualizările necesare pentru Windows (sau un patch special pentru sistemele care nu mai sunt acceptate) și respectați reguli simple securitate pe Internet. Cu toate acestea, ce ar trebui să faceți dacă computerul dvs. a fost deja deteriorat de programe malware și fișierele de pe el sunt criptate și nu există copii de rezervă? Experții în securitate nu recomandă categoric să plătească infractorii cibernetici - în primul rând, aceste acțiuni vor încuraja doar atacatorii; în al doilea rând, nu există nicio garanție că în acest fel puteți returna efectiv accesul la informații, iar suma transferată (care este de cel puțin 300 USD) nu va fi irosită. Cu toate acestea, astăzi există deja programe care vă permit să decriptați datele codificate de un virus fără a plăti o răscumpărare. Unul dintre ele se numește WannaKey, dar funcționează doar sub Windows XP. Cercetătorul francez Benjamin Delpy și-a creat propriul instrument pe baza acestuia, care se numește WannaKiwi și este potrivit nu numai pentru Windows XP, ci și pentru Windows Server 2003 și Windows 7. În plus, teoretic, aplicația ar trebui să funcționeze pe Windows Vista, 2008 și 2008 R2.

Principiul prin care funcționează WannaKiwi este similar cu algoritmul WannaKey. Se bazează pe faptul că, după activarea malware-ului, numerele prime ale cheii de criptare sunt stocate pe computer, iar WannaKiwi le poate găsi și le poate folosi pentru a recupera cheia în sine. Cu toate acestea, pentru ca acest lucru să funcționeze, trebuie să aplicați WannaKiwi cât mai curând posibil după infectare, fără a reporni computerul. Dacă aceste condiții nu sunt îndeplinite, atunci componentele necesare pentru a „reconstrui” cheia vor fi cel mai probabil suprascrise, iar utilitatea lui Benjamin Delpy va fi neputincioasă.

Cu toate acestea, în timp ce luptătorii pentru securitatea computerelor căutau un „leac” pentru WannaCry, nici autorii de viruși nu stăteau inactiv. Zilele trecute, cercetătorii au descoperit o nouă „tulpină” de malware care folosește același mecanism de distribuție ca și faimosul WannaCry, care a provocat mult zgomot în urmă cu mai bine de o săptămână. I s-a dat numele EternalRocks și se bazează și pe exploit-ul EternalBlue, creat de Agenția de Securitate Națională a SUA, dar care a căzut în mâinile hackerilor. În același timp, EternalRocks folosește încă șase instrumente, inclusiv EternalChampion, EternalRomance și DoublePulsar. Potrivit unor surse, toate au fost dezvoltate și de NSA și, datorită lor, noul virus se va putea răspândi mai repede și se va putea infecta Mai mult calculatoare. Este adevărat, până acum mostrele găsite nu reprezintă nicio amenințare, deoarece nu conțin elemente distructive în codul lor, cum ar fi, de exemplu, un criptator de fișiere. Cu toate acestea, acest lucru nu înseamnă că ulterior atacatorii nu vor putea lansa de la distanță aceste mecanisme pe mașinile infectate.

Pe 12 mai, la aproximativ 13 MSK, o „bombă” a explodat și virusul a început să se răspândească Wana Decryptor. În aproape câteva ore, zeci de mii de computere din întreaga lume au fost infectate. Pe momentul prezent Au fost confirmate peste 45.000 de computere infectate.

Calculatoarele atât ale utilizatorilor obișnuiți, cât și ale computerelor de lucru din diferite organizații, inclusiv Ministerul rus al Afacerilor Interne, au fost infectate cu virusul ransomware Wanna Cry.

Din păcate, în acest moment nu există nicio modalitate de a decripta fișierele WNCRY, dar puteți încerca să utilizați programe precum ShadowExplorer și PhotoRec.

Care este numele corect pentru acest virus ransomware: Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima descoperire a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și este adesea numit cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r în sine, a existat prima sa versiune, Wanna Decrypt0r, principala diferență față de cea actuală (2.0) era metoda de distribuție. Această primă variantă nu a primit atâta publicitate ca fratele ei mai mic, dar din această cauză, în unele știri, noul virus ransomware este numit pe numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Totuși, numele principal este Wana Decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” scriu litera „o”, ceea ce ne duce la numele Wana Decryptor sau WanaDecryptor.

Și numele de familie pe care utilizatorii îl numesc adesea acest virus de criptare este virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au fost criptate.

Cum penetrează Wana Decryptor computerul?

Motivul răspândirii rapide a ransomware-ului Wana Decrypt0r este prezența unei vulnerabilități în serviciul SMB al sistemului de operare Windows. Această vulnerabilitate este prezentă în toate versiunile moderne de Windows, de la Windows 7 la Windows 10. În 14 martie 2017, a fost lansată actualizarea „MS17-010: Actualizare de securitate pentru Windows SMB Server” (link), dar pe măsură ce viteza de răspândirea virusului arată că această actualizare nu a fost instalată pe toate computerele.

Prin urmare, dacă nu ați instalat încă actualizarea MS17-010, atunci trebuie să o faceți cât mai repede posibil! Wana Decrypt0r se răspândește cu o viteză nebună, iar fără acest patch computerul devine complet deschis la infecție.

Cum criptează WanaDecryptor fișierele de pe computerul tău?

Când WNCRY pornește, virusul ransomware își despachetează mai întâi programul de instalare, care conține următoarele fișiere:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry

Apoi scoate un mesaj de răscumpărare din arhivă în limba folosită de utilizatorul computerului. Wana Decrypt0r acceptă în prezent următoarele limbi:

bulgară, chineză (simplificată), chineză (tradițională), croată, cehă, daneză, olandeză, engleză, filipineză, finlandeză, franceză, germană, greacă, indoneziană, italiană, japoneză, coreeană, letonă, norvegiană, poloneză, portugheză, română, Rusă, slovacă, spaniolă, suedeză, turcă, vietnameză

Apoi, virusul WanaCrypt0r descarcă browserul TOR, care este folosit pentru a comunica cu serverele de control ale virusului ransomware. Când acest proces este finalizat, virusul execută o comandă cu care se instalează acces complet la toate directoarele și fișierele disponibile. Acest lucru este necesar pentru a cripta cât mai multe fișiere pe computerul infectat.

La următoarea etapă, WanaDecryptor încheie procesele cu următoarele nume mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.* pentru a cripta toate bazele de date aflate pe computerul infectat.

După ce a parcurs etapele pregătitoare descrise mai sus, virusul trece la procesul de criptare în sine. Procesul său criptează fișierele cu următoarele extensii:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, . doc

Apropo, pe baza listei de extensii, care nu include o extensie pentru popularul program 1C din Rusia, putem concluziona că cel mai probabil virusul nu a fost creat de programatori ruși.

Când un fișier este criptat, la numele său este adăugată extensia „.WNCRY”. Adică, dacă înainte de criptare fișierul avea numele „picture.bmp”, atunci după ce fișierul este criptat, numele acestuia va fi schimbat în „picture.bmp.WNCRY”.

Când toate fișierele din director sunt criptate, virusul ransomware plasează încă câteva fișiere în același director, acesta este @ [email protected]— conține instrucțiuni pentru decriptarea fișierelor și @ [email protected]- decriptor de fișiere criptate.

În etapa finală a activității sale, virusul WanaDecryptor încearcă să se elimine copii umbră toate fișierele și alte opțiuni pentru a recupera fișierele care au fost criptate anterior. Întrucât această operațiune necesită drepturi depline, apoi sistemul de operare afișează un avertisment de la serviciul UAC. Dacă utilizatorul refuză, copiile umbră ale fișierelor nu vor fi șterse și va fi posibilă restaurarea completă a fișierelor criptate absolut gratuit. Acest lucru este confirmat de mai multe mesaje de la utilizatori de pe forumul Kaspersky antivirus fan club.

Cum se recuperează fișierele criptate WNCRY?

După cum am menționat mai devreme, singura modalitate de a vă recupera gratuit fișierele care au fost criptate de virusul ransomware WanaDecryptor este să utilizați programe speciale, cum ar fi ShadowExplorer și PhotoRec. Procesul de utilizare a acestora este descris în detaliu în acest manual.

Dacă aveți întrebări sau aveți nevoie de ajutor, puteți crea subiect nou pe forumul nostru sau lăsați un comentariu mai jos.

Cum să preveniți infectarea computerului cu virusul ransomware Wana Decryptor?

În primul rând, trebuie să închideți vulnerabilitatea din sistemul de operare instalând actualizarea MS17-010, linkul către care îl puteți găsi la începutul acestui articol. Dacă este imposibil să instalați actualizarea, atunci dezactivați utilizarea protocolului SMBv1 (Cum să activați și să dezactivați SMBv1, link) sau blocați conexiunile de intrare la portul 445 din firewall.

Pentru organizare protecţie deplină ai nevoie de un computer minim antivirus gratuit(vezi acest articol) și un program anti-malware (vezi acest articol). Vă recomandăm să utilizați Zemana Anti-malware sau Malwarebytes. Versiuni complete Aceste programe includ și un modul suplimentar care blochează lansarea virușilor ransomware.

Astăzi, probabil, doar oamenii foarte departe de Internet nu cunosc infecțiile în masă ale computerelor cu troianul de criptare WannaCry („Vreau să plâng”), care a început pe 12 mai 2017. Și aș împărți reacția celor care știu în 2 categorii opuse: indiferența și panica. Ce înseamnă acest lucru?

Iar faptul că informațiile fragmentare nu oferă o înțelegere completă a situației dă naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați de infecție și cum să decriptați fișierele deteriorate de WannaCry, articolul de astăzi îi este dedicat.

Este „diavolul” chiar atât de înfricoșător?

Nu înțeleg despre ce este toată agitațiaVrei să plângi? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un malware cibernetic obișnuit. Motivul notorietății sale îl reprezintă pagubele gigantice cauzate. Potrivit Europol, acesta a perturbat funcționarea a peste 200.000 de computere care rulează Windows în 150 de țări, iar pagubele suferite de proprietarii acestora s-au ridicat la peste 1.000.000.000 de dolari și asta doar în primele 4 zile de distribuție. Majoritatea victimelor se află în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri web pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Am si eu o problema. Când apar viruși pe computer, rulez utilitarul *** și după o jumătate de oră totul este în regulă. Și dacă nu ajută, reinstalez Windows.

Virusul este diferit de virus. WannaCry este un troian ransomware, un vierme de rețea care se poate răspândi prin rețelele locale și pe internet de la un computer la altul fără intervenția umană.

Majoritatea programelor malware, inclusiv ransomware-ul, începe să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. Pentru a vă infecta cu WannaCry, nu trebuie să faceți absolut nimic!

Odată ajuns pe un computer Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj care cere o răscumpărare de 300-600 USD, care trebuie transferat în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere, iar dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copii de rezervă fișierele stocate pe mașinile învecinate devin și ele inutilizabile.

Eliminarea unui virus de pe un computer nu decriptează fișierele! Reinstalarea si sistemul de operare. Dimpotrivă, dacă sunt infectate cu ransomware, ambele aceste acțiuni vă pot lipsi de capacitatea de a recupera fișiere chiar dacă aveți o cheie validă.

Deci da, „la naiba” este destul de înfricoșător.

Cum se răspândește WannaCry

Tu minți. Un virus poate intra pe computerul meu doar dacă îl descarc eu. Și sunt vigilent.

Multe programe malware sunt capabile să infecteze computerele (și dispozitivele mobile, de altfel, de asemenea) prin vulnerabilități - erori în codul componentelor sistemului de operare și al programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. WannaCry, în special, se răspândește printr-o vulnerabilitate de 0 zile în protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate în momentul în care au fost exploatate de malware/spyware).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

  • Conexiuni la o rețea în care există alte mașini infectate (Internet).
  • Prezența lacunei descrise mai sus în sistem.

De unde a apărut această infecție? Este aceasta opera hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru autenticitate), Agenția Națională de Securitate din SUA a fost prima care a descoperit o defecțiune în protocolul de rețea SMB, care este folosit pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să o raporteze la Microsoft, astfel încât să poată remedia eroarea, NSA a decis să o folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe site-ul intel.malwaretech.com

Ulterior, această exploatare (cu nume de cod EternalBlue), care a servit de ceva timp NSA să pătrundă în computere fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creării ransomware-ului WannaCry. Adică datorită nu în întregime legală și actiuni etice Agențiile guvernamentale americane sunt scriitori de viruși și au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Pentru ce este necesar când totul funcționează fără ele.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei a fost absența la acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru a-l dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore de la lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului de atacul WannaCry și cum să vă protejați împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, operat deWindows 7. Am „zece”, ceea ce înseamnă că nu sunt în pericol.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt susceptibile la infecția cu WannaCry. Acest:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Astăzi, utilizatorii sistemelor pe care nu este instalat (disponibil pentru descărcare gratuită de pe site-ul technet.microsoft.com, către care este furnizat link-ul). Pot fi descărcate corecții pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate. De asemenea, descrie modalități de a verifica prezența unei actualizări salvatoare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win+R și rulați comanda winver.

Pentru a spori securitatea și dacă nu este posibilă actualizarea sistemului acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. În plus, dar nu neapărat, puteți închide portul TCP 445, care servește SMB, prin firewall.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

Răspândirea WannaCry poate avea loc nu numai prin pistolul autopropulsat descris mai sus, ci și în modurile obişnuite- prin social media, e-mail, resurse web infectate și phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, nici un antivirus, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ce vrea. Am un prieten care este programator, el va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia folosind forța brută.

Ei bine, criptează câteva fișiere, deci ce? Acest lucru nu mă va împiedica să lucrez la computer.

Din păcate, nu va decripta, deoarece nu există modalități de a sparge algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și va cripta nu doar câteva fișiere, ci aproape totul.

Conduce descriere detaliată Nu voi lucra la malware oricine este interesat poate citi analiza acestuia, de exemplu, în . Voi nota doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

După cum puteți vedea, există documente, fotografii, video-audio, arhive, e-mail și fișiere create în diferite programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate primesc extensie dublă cu postscriptura WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] – se presupune că pentru decriptare după răscumpărare, precum și document text @[email protected] cu un mesaj pentru utilizator.

În continuare, el încearcă să distrugă copii umbra și puncte Recuperare Windows. Dacă sistemul rulează UAC, utilizatorul trebuie să confirme această operație. Dacă respingeți solicitarea, există în continuare șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în Rețele Tor, apoi le șterge de pe computer. Pentru a căuta alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată găsite, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii cunosc mai multe modificări ale WannaCry cu mecanisme de distribuție diferite și ar trebui să ne așteptăm să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum să oprești asta?

Criptarea nu este un proces unic, deși nu durează prea mult. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin scoaterea ștecherului din priză!

La se încarcă Windowsîn modul normal, criptarea va continua, așa că este important să o preveniți. Următoarea pornire a computerului ar trebui să aibă loc fie în modul sigur, în care virușii nu sunt activi sau de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă aveți o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware dacă au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decriptoare WannaCry: și . Primul funcționează numai în Windows XP, iar al doilea, creat pe baza primului, funcționează în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de operare al ambelor decriptoare se bazează pe căutare chei secreteîn memoria procesului ransomware. Aceasta înseamnă că doar cei care nu au avut timp să repornească computerul au șanse de decriptare. Și dacă nu a trecut prea mult timp de la criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru pe care ar trebui să-l faceți după ce apare mesajul de răscumpărare este să vă deconectați computerul de la retea localași Internet și rulați decriptorul WanaKiwi descărcat pe alt dispozitiv. Înainte de a scoate cheia, nu efectuați alte acțiuni pe computer!

Puteți citi descrierea activității decriptorului WanaKiwi într-un altul.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry este recunoscut de aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape orice va face.

Cum să trăiești această viață mai departe

Această epidemie autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru lucrătorii de utilități. Motivul este nepăsarea și întâmplărea. Consecințele sunt pierderi ireparabile de date și daune. Și pentru creatorii malware-ului, acesta este un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a adus dividende foarte bune distribuitorilor, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, ca să nu fii nevoit să plângi niciodată pentru fișierele criptate:

  • Nu refuzați să instalați actualizări de sistem de operare și aplicații. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
  • Ține-o.
  • Creați copii de rezervă ale fișierelor importante și stocați-le pe un alt mediu fizic sau, mai bine, pe mai multe. În rețelele corporative, este optim să folosiți baze de date distribuite de stocare a datelor, utilizatorii casnici pot utiliza servicii cloud gratuite, cum ar fi Yandex Disk; Google Drive, OneDrive, MEGASynk etc. Nu lăsați aceste aplicații să ruleze când nu le utilizați.
  • Alegeți sisteme de operare fiabile. Windows XP nu este așa.
  • Instalați un antivirus cuprinzător de clasă Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu. Sau analogi de la alți dezvoltatori.
  • Creșteți-vă nivelul de alfabetizare în combaterea troienilor ransomware. De exemplu, furnizorul de antivirus Dr.Web a pregătit pentru utilizatorii și administratorii diferitelor sisteme. Multe utile și, ceea ce este important, informaţii de încredere conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către atacatori pentru decriptare. Probabilitatea să fiți înșelat este de 99%. Mai mult, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.

Tot pe site:

Epidemia WannaCry: răspunsuri la întrebările frecvente și dezmințirea concepțiilor greșite ale utilizatorilor actualizat: 27 mai 2017 de: Johnny Mnemonic

La câțiva ani, în rețea apare un virus care poate infecta multe computere într-un timp scurt. De data aceasta, un astfel de virus a fost Wanna Cry (sau, așa cum îl numesc uneori utilizatorii din Rusia - „acolo”, „vreau să plâng”). Acest malware a infectat aproximativ 57.000 de mii de computere în aproape toate țările lumii în doar câteva zile. De-a lungul timpului, rata de infectare cu virusul a scăzut, dar încă apar dispozitive noi care au fost infectate. Pe în acest moment Peste 200.000 de computere au fost afectate - atât utilizatori privați, cât și organizații.

Wanna Cry este cea mai serioasă amenințare informatică Este 2017 și încă poți să fii victimă. În acest articol vă vom spune ce este Wanna Cry, cum se răspândește și cum să vă protejați de virus.

WannaCry criptează majoritatea sau chiar toate fișierele de pe computer. Software-ul afișează apoi un mesaj specific pe ecranul computerului dvs. care cere o răscumpărare de 300 USD pentru a vă decripta fișierele. Plata trebuie să aibă loc pe Portofel Bitcoin. Dacă utilizatorul nu plătește răscumpărarea în 3 zile, suma se dublează la 600 USD. După 7 zile, virusul va șterge toate fișierele criptate și toate datele dumneavoastră se vor pierde.

Symantec a publicat o listă cu toate tipurile de fișiere pe care Wanna Cry le poate cripta. Această listă include TOTUL formate populare fișiere inclusiv .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv , .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. Lista completă este sub spoiler.

  • .accdb
  • .backup
  • .clasă
  • .djvu
  • .docb
  • .docm
  • .docx
  • .dotm
  • .dotx
  • .java
  • .jpeg
  • .lay6
  • .mpeg
  • .onetoc2
  • .potm
  • .potx
  • .ppam
  • .ppsm
  • .ppsx
  • .pptm
  • .pptx
  • .sldm
  • .sldx
  • .sqlite3
  • .sqlitedb
  • .tiff
  • .vmdk
  • .vsdx
  • .xlsb
  • .xlsm
  • .xlsx
  • .xltm
  • .xltx

După cum puteți vedea, un virus poate cripta aproape orice fișier de pe hard diskul computerului. După finalizarea criptării, Wanna Cry postează instrucțiuni pentru decriptarea fișierelor, ceea ce implică plata unei anumite răscumpări.

Agenția de Securitate Națională a SUA (NSA) a descoperit un exploit numit „EternalBlue”, dar a ales să ascundă acest fapt pentru a-l folosi în avantajul lor. În aprilie 2017, grupul de hackeri Shadow Brokers a publicat informații despre exploit.

Virusul Wanna Cry se răspândește cel mai adesea în felul următor: primiți un e-mail cu un atașament. Atașamentul poate conține o fotografie, un fișier video, compoziție muzicală. Cu toate acestea, dacă aruncați o privire mai atentă la fișier, puteți înțelege că extensia acestui fișier este .exe (fișier executabil). Astfel, după lansarea fișierului, sistemul este infectat și, datorită exploit-ului găsit anterior, este descărcat un virus care criptează datele utilizatorului.

Cu toate acestea, acesta nu este singurul mod în care Wanna Cry (virusul „de acolo”) se poate răspândi. Nu există nicio îndoială că puteți descărca și un fișier infectat din trackere torrent sau îl puteți primi în mesaje personale pe rețelele sociale.

Cum să te protejezi de virusul Wanna Cry?

Cum să te protejezi de virusul Wanna Cry?

  • În primul rând, trebuie să instalați toate actualizările disponibile pentru sistemul dvs. de operare. În special, utilizatorii de Windows Persoanele care rulează Windows XP, Windows 8 sau Windows Server 2003 ar trebui să instaleze imediat actualizarea de securitate a sistemului de operare pe care Microsoft a lansat-o.
  • În plus, fii extrem de atent la toate scrisorile care vin pe adresa ta de e-mail. Nu trebuie să-ți cobori vigilența, chiar dacă destinatarul îți este cunoscut. Nu deschideți niciodată fișiere cu extensiile .exe, .vbs și .scr. Cu toate acestea, extensia fișierului poate fi deghizată ca video obișnuit sau document și arată ca avi.exe sau doc.scr.
  • Este recomandabil să activați opțiunea „Afișați extensiile fișierelor” în Setări Windows. Acest lucru vă va ajuta să vedeți adevărata extensie de fișier, chiar dacă infractorii au încercat să o mascheze.
  • Este puțin probabil ca instalarea să vă ajute să evitați infecția. Faptul este că virusul Wanna Cry exploatează o vulnerabilitate a sistemului de operare, așa că asigurați-vă că instalați toate actualizările pentru Windows - și apoi puteți instala un antivirus.
  • Asigurați-vă că salvați toate datele importante în dur extern disc sau nor. Chiar dacă computerul este infectat, va trebui doar să reinstalați sistemul de operare pentru a scăpa de virusul de pe computer.
  • Asigurați-vă că utilizați cele mai recente baze de date pentru antivirusul dvs. Avast, Dr.web, Kaspersky, Nod32 - toate antivirusuri moderneîși actualizează în mod constant bazele de date. Principalul lucru este să vă asigurați că licența antivirusului dvs. este activă și este actualizată.
  • Descărcați și instalați utilitarul gratuit Kaspersky Anti-Ransomware de la Kaspersky Lab. Acest software vă protejează de ransomware în timp real. In plus, această utilitate poate fi utilizat simultan cu antivirusurile convenționale.

După cum am scris deja, Microsoft a lansat un patch care închide vulnerabilitățile din sistemul de operare și împiedică virusul Wanna Cry să vă cripteze datele. Acest patch trebuie instalat urgent pe următorul sistem de operare:

Windows XP, Windows 8 sau Windows Server 2003, Windows Embedded

Dacă aveți o altă versiune de Windows, instalați pur și simplu toate actualizările disponibile.

Eliminarea virusului Wanna Cry de pe computer este ușoară. Pentru a face acest lucru, scanați-vă computerul cu unul dintre (de exemplu, Hitman Pro). Cu toate acestea, în acest caz, documentele dumneavoastră vor rămâne în continuare criptate. Prin urmare, dacă intenționați să plătiți răscumpărarea, atunci eliminați programul @ [email protected] E mai bine să aștepți. Dacă nu aveți nevoie de date criptate, formatarea este cea mai ușoară cale hard diskși instalați din nou sistemul de operare. Acest lucru va distruge cu siguranță toate urmele virusului.

Programele ransomware (care includ Wanna Cry) vă criptează de obicei datele cu chei de 128 sau 256 de biți. Cheia pentru fiecare computer este unică, așa că acasă poate dura zeci sau sute de ani pentru a o decripta. De fapt, acest lucru face imposibil ca utilizatorul obișnuit să decripteze datele.

Desigur, cu toții am dori să avem un decriptor Wanna Cry în arsenalul nostru, dar o astfel de soluție nu există încă. De exemplu, unul similar a apărut în urmă cu câteva luni, dar încă nu există un decriptor disponibil pentru el.

Prin urmare, dacă nu ați fost încă infectat, atunci ar trebui să aveți grijă de dvs. și să luați măsuri pentru a vă proteja de virus, care sunt descrise în articol. Dacă ați devenit deja victimă a infecției, atunci aveți mai multe opțiuni:

  • Plătește răscumpărarea. Dezavantajele acestei soluții sunt prețul relativ mare pentru date; nu este un fapt că toate datele vor fi decriptate
  • Pune hard disk-ul pe un raft și speră să apară un decriptor. Apropo, decriptoarele sunt dezvoltate de Kaspersky Lab și postate pe site-ul web No Ransom. Nu există încă un decriptor pentru Wanna Cry, dar poate apărea după ceva timp. Cu siguranță vom actualiza articolul pe măsură ce o astfel de soluție devine disponibilă.
  • Daca esti utilizator licențiat produsele Kaspersky Lab, apoi puteți trimite o solicitare de decriptare a fișierelor care au fost criptate de virusul Wanna Cry.
  • Reinstalați sistemul de operare. Dezavantaje - toate datele se vor pierde
  • Utilizați una dintre metodele de recuperare a datelor după infectarea cu virusul Wanna Cry (o voi publica pe site-ul nostru ca articol separat în câteva zile). Cu toate acestea, rețineți că șansele de recuperare a datelor sunt extrem de scăzute.

Cum să vindeci virusul Wanna Cry?

După cum ați înțeles deja din articol, vindecarea virusului Wanna Cry este extrem de simplă. Instalezi unul dintre ele, îți scanează hard disk-ul și elimină toți virușii. Dar problema este că toate datele tale vor rămâne criptate. Pe lângă recomandările date anterior pentru eliminarea și decriptarea Wanna Cry, se pot oferi următoarele:

  1. Puteți consulta forumul Kaspersky Lab. În firul, care este disponibil la link, au fost create mai multe subiecte despre Wanna Cry. Reprezentanții dezvoltatorului răspund pe forum, așa că poate vă pot spune și vouă ceva util.
  2. Ar trebui să așteptați - virusul a apărut nu cu mult timp în urmă, poate va apărea un decriptor. De exemplu, în urmă cu nu mai mult de șase luni, Kaspersky a reușit să învingă criptatorul CryptXXX. Este posibil ca după ceva timp să lanseze un decriptor pentru Wanna Cry.
  3. Soluția cardinală este formatarea hard disk-ului, instalarea sistemului de operare și pierderea tuturor datelor. Sunt fotografiile tale de la ultima ta petrecere corporativă atât de importante pentru tine?)

După cum puteți vedea din infograficele prezentate, majoritatea computerelor care au fost infectate cu Wanna Cry sunt situate în Rusia. Cu toate acestea, acest lucru nu este surprinzător - în țara noastră, procentul de utilizatori ai sistemului de operare „piratat” este extrem de mare. Cel mai adesea, astfel de utilizatori au actualizările automate dezactivate, ceea ce a făcut posibilă infectarea.

După cum a devenit cunoscut, în Rusia nu a fost numai utilizatori obișnuiți, dar și întreprinderi de stat și companii private. Se raportează că printre victime s-au numărat Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență și Banca Centrală, precum și Megafon, Sberbank și Căile Ferate Ruse.

În Marea Britanie, rețeaua de spitale a fost afectată, ceea ce a făcut imposibilă efectuarea unor operații.

A fost ușor să te protejezi de infecție - în martie, Microsoft a lansat o actualizare de securitate pentru Windows care a închis „găurile” în sistemul de operare. Virusul operează prin intermediul lor. Dacă nu ați făcut acest lucru încă, asigurați-vă că instalați toate actualizările pentru sistemul de operare, precum și un patch special pentru cele vechi versiuni Windows despre care am menționat mai sus.

Unii utilizatori ai sălii de operație sisteme Linux se întreabă: pot computerele lor să fie infectate cu virusul Wanna Cry? Îi pot liniști: computerele sunt sub control Linux Acest virus nu este înfricoșător. În acest moment, nu au fost detectate variații ale virusului pentru acest sistem de operare.

Concluzie

Așadar, astăzi am vorbit despre virusul Wanna Cry. Am aflat ce este acest virus, cum să vă protejați de infecție, cum să eliminați virusul și să restaurați fișierele, de unde să obțineți un decriptor Wanna Cry. În plus, am aflat de unde să descărcați un patch pentru Windows care vă va proteja de infecție. Sper că ați găsit acest articol de ajutor.

WannaCry este un program special care blochează toate datele din sistem și lasă utilizatorului doar două fișiere: instrucțiuni despre ce să facă în continuare și programul Wanna Decryptor în sine - un instrument pentru deblocarea datelor.

Majoritatea companiilor de securitate informatică au instrumente de decriptare a răscumpărării care pot ocoli software-ul. Pentru muritorii obișnuiți, metoda de „tratament” este încă necunoscută.

WannaCry Decryptor ( sau WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), este deja numit „virusul anului 2017”. Și deloc fără motiv. Doar în primele 24 de ore din momentul în care a început să se răspândească - acest ransomware a lovit peste 45.000 de computere. Unii cercetători cred că în acest moment (15 mai) mai mult de un milion de computere și servere au fost deja infectate. Să vă reamintim că virusul a început să se răspândească pe 12 mai. Primii care au fost afectați au fost utilizatorii din Rusia, Ucraina, India și Taiwan. Momentan, virusul este de mare viteză distribuite în Europa, SUA și China.

Informațiile de pe computere și servere au fost criptate agentii guvernamentale(în special Ministerul rus al Afacerilor Interne), spitale, corporații transnaționale, universități și școli.

Wana Decryptor (Wanna Cry sau Wana Decrypt0r) a paralizat activitatea a sute de companii și agenții guvernamentale din întreaga lume

În esență, WinCry (WannaCry) este un exploit al familiei EternalBlue, care folosește o vulnerabilitate destul de veche în sistemul de operare Windows (Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10) și se încarcă în tăcere în sistem. Apoi, folosind algoritmi rezistenți la decriptare, criptează datele utilizatorului (documente, fotografii, videoclipuri, foi de calcul, baze de date) și solicită o răscumpărare pentru decriptarea datelor. Schema nu este nouă, scriem în mod constant despre noi tipuri de criptoare de fișiere - dar metoda de distribuție este nouă. Și asta a dus la o epidemie.

Cum funcționează virusul

Malware-ul scanează Internetul pentru gazde care caută computere cu portul TCP deschis 445, care este responsabil pentru deservirea protocolului SMBv1. După ce a detectat un astfel de computer, programul face mai multe încercări de a exploata vulnerabilitatea EternalBlue pe acesta și, dacă reușește, instalează backdoor-ul DoublePulsar, prin care este descărcat și lansat codul executabil al programului WannaCry. La fiecare încercare de exploatare, malware-ul verifică prezența DoublePulsar pe computerul țintă și, dacă este detectat, se descarcă direct prin această ușă din spate.

Apropo, aceste căi nu sunt urmărite de modern programe antivirus, ceea ce a făcut ca infecția să fie atât de răspândită. Și acesta este o piatră uriașă în grădina dezvoltatorilor de software antivirus. Cum s-ar putea lăsa să se întâmple asta? Pentru ce iei bani?

Odată lansat, malware-ul acționează ca un ransomware clasic: generează o pereche de chei RSA-2048 asimetrică unică pentru fiecare computer infectat. Apoi, WannaCry începe să scaneze sistemul în căutarea unor fișiere de utilizator de anumite tipuri, lăsându-le neatinse pe cele critice pentru funcționarea sa ulterioară. Fiecare fișier selectat este criptat folosind algoritmul AES-128-CBC cu o cheie unică (aleatorie) pentru fiecare dintre ele, care la rândul său este criptată cu cheia RSA publică a sistemului infectat și este stocată în antetul fișierului criptat. În acest caz, extensia este adăugată fiecărui fișier criptat .wncry. Perechea de chei RSA a sistemului infectat este criptată cu cheia publică a atacatorilor și trimisă la serverele lor de control situate în rețeaua Tor, după care toate cheile sunt șterse din memoria mașinii infectate. După finalizarea procesului de criptare, programul afișează o fereastră care vă solicită să transferați o anumită sumăîn bitcoins (echivalentul a 300 de dolari SUA) la portofelul specificat în interior trei zile. Dacă răscumpărarea nu este primită la timp, valoarea acesteia va fi dublată automat. În a șaptea zi, dacă WannaCry nu este eliminat din sistemul infectat, fișierele criptate sunt distruse. Mesajul este afișat în limba corespunzătoare celei instalate pe computer. În total, programul acceptă 28 de limbi. În paralel cu criptarea, programul scanează adrese arbitrare de internet și rețele locale pentru infectarea ulterioară a computerelor noi.

Conform cercetărilor efectuate de Symantec, algoritmul atacatorilor pentru urmărirea plăților individuale către fiecare victimă și trimiterea acestora a cheii de decriptare este implementat cu o eroare de condiție de cursă. Acest lucru face plățile de răscumpărare inutile, deoarece cheile individuale nu vor fi trimise în niciun caz, iar fișierele vor rămâne criptate. Cu toate acestea, există metoda de incredere descifra fișiere utilizator mai puțin de 200 MB și, de asemenea, câteva șanse de a recupera fișiere dimensiune mai mare. În plus, pe învechit sisteme Windows XP și Windows Server 2003, datorită particularităților implementării algoritmului de calculare a numerelor pseudoaleatoare în sistem, este chiar posibilă recuperarea cheilor private RSA și decriptarea tuturor fișierelor afectate dacă computerul nu a fost repornit din acest moment. de infectie. Ulterior, un grup de experți francezi în securitate cibernetică de la Comae Technologies a extins această caracteristică la Windows 7 și a pus-o în practică prin publicarea utilitarului în domeniul public. WanaKiwi, care vă permite să decriptați fișiere fără răscumpărare.

Codul versiunilor timpurii ale programului includea un mecanism de autodistrugere, așa-numitul Kill Switch - programul verifica disponibilitatea a două domenii specifice de internet și, dacă erau prezente, era complet eliminat de pe computer. Acesta a fost descoperit pentru prima dată de Marcus Hutchins pe 12 mai 2017. (engleză) rusă , un analist de viruși în vârstă de 22 de ani pentru compania britanică Kryptos Logic, care scrie pe Twitter sub porecla @MalwareTechBlog și a înregistrat unul dintre domeniile pe numele său. Astfel, a reușit să blocheze temporar parțial răspândirea acestei modificări a programului rău intenționat. Pe 14 mai a fost înregistrat al doilea domeniu. În versiunile ulterioare ale virusului, acest mecanism de auto-dezactivare a fost eliminat, dar acest lucru nu a fost făcut în versiunea originală. codul programului, și prin editare fișier executabil, care ne permite să ne asumăm originea această remediere nu de la autorii WannaCry original, ci de la atacatori terți. Ca urmare, mecanismul de criptare a fost deteriorat, iar această versiune a viermelui se poate răspândi numai prin găsirea de computere vulnerabile, dar nu este capabilă să le provoace vătămări directe.

Rata mare de răspândire a WannaCry, unică pentru ransomware, este asigurată de exploatarea unei vulnerabilități publicată în februarie 2017 protocol de rețea Sistem de operare SMB Microsoft Windows descrise în buletinul MS17-010. Dacă în schema clasică ransomware-ul a ajuns pe computer datorită acțiunilor utilizatorului însuși prin e-mail sau link-ul web, atunci în cazul WannaCry participarea utilizatorului este complet exclusă. Timpul dintre detectarea unui computer vulnerabil și infectarea completă a acestuia este de aproximativ 3 minute.

Compania de dezvoltare a confirmat prezența unei vulnerabilități în absolut toate produsele utilizator și server care au o implementare a protocolului SMBv1 - începând cu Windows XP/Windows Server 2003 și terminând cu Windows 10/Windows Server 2016. Pe 14 martie 2017, Microsoft a lansat o serie de actualizări menite să neutralizeze vulnerabilitatea în toate sistemele de operare acceptate. În urma răspândirii WannaCry, compania a făcut pasul fără precedent de a lansa și actualizări pentru produsele de sfârșit de asistență (Windows XP, Windows Server 2003 și Windows 8) pe 13 mai.

Răspândirea virusului WannaCry

Virusul se poate răspândi în diferite moduri:

  • printr-o singură rețea de calculatoare;
  • Prin poștă;
  • Prin browser.

Personal, nu prea înțeleg de ce conexiune la rețea nu este scanat de antivirus. Aceeași metodă de infectare ca prin vizitarea unui site web sau browser dovedește neputința dezvoltatorilor și că fondurile solicitate pentru software-ul licențiat pentru protejarea unui PC nu sunt justificate în niciun fel.

Simptomele infecției și tratamentul virusului

După instalarea cu succes pe computerul utilizatorului, WannaCry încearcă să se răspândească în rețeaua locală la alte PC-uri ca un vierme. Fișierele criptate primesc extensia de sistem .WCRY și devin complet ilizibile și nu este posibil să le decriptați singur. După criptare completă Wcry schimbă imaginea de fundal de pe desktop și lasă „instrucțiuni” pentru decriptarea fișierelor în foldere cu date criptate.

La început, hackerii au extorcat 300 de dolari pentru cheile de decriptare, dar apoi au ridicat această cifră la 600 de dolari.

Cum să preveniți infectarea computerului dvs. de ransomware-ul WannaCry Decryptor?

Descărcați actualizarea sistemului de operare de pe site-ul web Microsoft.

Ce să fac PC-ul tau este infectat?

Utilizați instrucțiunile de mai jos pentru a încerca să recuperați cel puțin o parte din informațiile de pe computerul infectat. Actualizați-vă antivirusul și instalați patch-ul sistemului de operare. Un decriptor pentru acest virus nu există încă în natură. Nu recomandăm insistent să plătiți o răscumpărare atacatorilor - nu există nicio garanție, nici măcar cea mai mică, că vă vor decripta datele după primirea răscumpărării.

Eliminați ransomware-ul WannaCry folosind un agent de curățare automat

Exclusiv metoda eficienta lucrul cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Vă rugăm să rețineți despre care vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

  1. Descărcați programul de eliminare a virușilor WannaCry. După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea). Descărcați programul de eliminare a ransomware Vreau să plâng .
  2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Remediați amenințările(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul no_more_ransom blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate nu pot fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută. Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software Cum Recuperarea datelor Pro restaurați obiectele șterse, chiar dacă fiabilitatea înlăturării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor eficiența acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe Procedura Windows copie de rezervă a fișierelor, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să introduceți interfața corespunzătoare, selectați fisierele necesareși porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibilele componente reziduale ale ransomware-ului WannaCry

Curatenie in modul manual este plin de omiterea fragmentelor individuale de ransomware care pot scăpa de eliminare sub formă de obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un software de securitate de încredere. pachet software, specializată în malware.

Decodare

Dar nu există informații de la cei care au plătit pentru decriptare, la fel cum nu există informații despre intenția hackerilor de a calma sufletele oamenilor și de a decripta informațiile după plată ((((

Dar pe hub existau informații despre principiul de funcționare a butonului Decriptare, precum și despre faptul că atacatorii nu au o modalitate de a identifica utilizatorii care au trimis bitcoini, ceea ce înseamnă că nimeni nu va restitui nimic victimelor:

„Criptorul creează două tipuri de fișiere: în primul rând, o parte este criptată folosind AES de 128 de biți, iar cheia de decriptare generată este atașată direct fișierului criptat. Fișierele criptate în acest mod primesc extensia .wncyrși acestea sunt apoi decriptate când faceți clic pe Decriptare. Cea mai mare parte a lucrurilor criptate primește extensia .wncry iar cheia nu mai este acolo.
În acest caz, criptarea nu are loc în fișierul în sine, dar mai întâi este creat un fișier pe discul pe care este plasat conținutul criptat și apoi fișier sursă este șters. În consecință, de ceva timp există șansa de a recupera o parte a datelor folosind diverse utilitare de anulare a ștergerii.
Pentru a combate astfel de utilități, criptorul scrie în mod constant tot felul de gunoi pe disc, astfel încât spațiul pe disc este consumat destul de repede.
Dar de ce nu există încă informații despre plată și mecanismele de verificare este cu adevărat surprinzător. Poate că suma destul de decentă (300 USD) care este necesară pentru un astfel de control are un impact.”

Creatorii virusului WannaCry au ocolit protecția temporară sub forma unui domeniu fără sens

Creatorii virusului ransomware WannaCry, care a afectat computerele din peste 70 de țări, au lansat o nouă versiune a acestuia. Îi lipsește codul pentru accesarea unui domeniu fără sens, care a fost folosit pentru a preveni răspândirea virusului original, scrie Motherboard. Publicația a primit confirmarea apariției noua versiune virus de la doi specialiști care au studiat noi cazuri de infecție computerizată. Unul dintre ei este Costin Raiu, șeful echipei internaționale de cercetare la Kaspersky Lab.

Experții nu au precizat dacă au apărut alte modificări în WannaCry.