Cách giải mã file sau virus Wanna Cry. Cách bảo vệ bản thân khỏi virus Wanna Cry. Đó không phải lỗi của Microsoft. WannaCry - Khốn cho Microsoft hoặc vô tình “PR”

Chuyên gia Adrien Guinet của công ty Quarkslab của Pháp báo cáo rằng ông đã tìm ra cách giải mã dữ liệu bị hư hỏng do một cuộc tấn công bằng ransomware. Thật không may, phương pháp này chỉ hoạt động với hệ điều hành Windows XP chứ không phải trong mọi trường hợp, nhưng thà có còn hơn không.

Tôi phải hoàn tất toàn bộ quá trình giải mã nhưng tôi xác nhận rằng, trong trường hợp này, khóa riêng có thể được khôi phục trên hệ thống XP #muốn khóc!! pic.twitter.com/QiB3Q1NYpS

Guinier đã xuất bản mã nguồn của một công cụ mà anh gọi là WannaKey trên GitHub. Trên thực tế, kỹ thuật của nhà nghiên cứu dựa trên việc khai thác một lỗi khá lạ và ít được biết đến trong Windows XP, mà ngay cả tác giả của phần mềm độc hại ransomware giật gân dường như cũng không biết đến. Thực tế là, trong một số trường hợp nhất định, có thể trích xuất khóa cần thiết để “cứu” các tệp từ bộ nhớ của máy chạy XP.

Nhà nghiên cứu giải thích rằng trong quá trình hoạt động, ransomware sử dụng Windows Crypto API và tạo ra một cặp khóa - một khóa công khai dùng để mã hóa tệp và một khóa riêng tư có thể dùng để giải mã tệp sau khi trả tiền chuộc. Để ngăn nạn nhân lấy khóa riêng và giải mã dữ liệu trước thời hạn, tác giả của WannaCry đã mã hóa chính khóa đó để nó chỉ khả dụng sau khi thanh toán.

Sau khi khóa được mã hóa, phiên bản không được mã hóa của nó sẽ bị xóa bằng chức năng CryptReleaseContext tiêu chuẩn, theo lý thuyết, chức năng này cũng sẽ xóa nó khỏi bộ nhớ của máy bị nhiễm. Tuy nhiên, Guinier lưu ý rằng điều này không xảy ra, chỉ có "điểm đánh dấu" trỏ đến phím bị loại bỏ.

Chuyên gia viết rằng có thể trích xuất khóa riêng từ bộ nhớ. Bản thân Guinier đã tiến hành một loạt thử nghiệm và giải mã thành công các tập tin trên một số máy tính chạy Windows XP bị nhiễm virus. Tuy nhiên, nhà nghiên cứu viết rằng để hoạt động có kết quả thành công, cần phải đáp ứng một số điều kiện. Vì khóa chỉ được lưu trữ trong bộ nhớ dễ thay đổi, bạn không chỉ cần cảnh giác với thực tế là bất kỳ quá trình nào cũng có thể vô tình ghi đè lên dữ liệu trên khóa và bộ nhớ sẽ được phân phối lại, mà bạn cũng không nên tắt và khởi động lại máy tính. sau khi nhiễm trùng.

“Nếu may mắn, bạn sẽ có thể truy cập vào những vùng bộ nhớ này và lấy lại được chìa khóa. Nó có thể vẫn còn ở đó và bạn có thể sử dụng nó để giải mã các tập tin của mình. Nhưng điều này không hiệu quả trong mọi trường hợp”, nhà nghiên cứu viết.

Không rõ có bao nhiêu máy tính chạy Windows XP bị nhiễm WannaCry và bao nhiêu phần trăm người dùng không bao giờ khởi động lại hoặc tắt PC của họ sau khi bị lây nhiễm. Hãy để tôi nhắc bạn rằng tổng cộng hàng trăm nghìn máy đã bị ảnh hưởng bởi các cuộc tấn công bằng ransomware ở hơn một trăm quốc gia trên thế giới. Tuy nhiên, Guinier hy vọng kỹ thuật của mình có thể hữu ích với ít nhất một số người dùng.

Các chuyên gia khác đã xác nhận rằng về mặt lý thuyết, công cụ Guinier sẽ hoạt động. Vì vậy, nhà mật mã học và giáo sư nổi tiếng Matthew Green tại Đại học Johns Hopkins đã viết rằng phương pháp này sẽ hiệu quả, mặc dù trong hoàn cảnh hiện tại, tất cả trông giống xổ số hơn. Một chuyên gia nổi tiếng khác, nhân viên của công ty F-Secure, Mikko Hypponen, đặt câu hỏi “tại sao lại sử dụng chức năng không hủy khóa để hủy khóa?”, nhưng đồng ý rằng lỗi này có thể được sử dụng để khôi phục các tập tin bị mã hóa.

Virus WannaCry là một chương trình ransomware sử dụng khai thác EternalBlue để lây nhiễm vào các máy tính chạy hệ điều hành Microsoft Windows. Phần mềm ransomware còn được gọi là WannaCrypt0r, WannaCryptor, WCry và Wana Decrypt0r. Sau khi tấn công máy tính mục tiêu, nó sẽ nhanh chóng mã hóa tất cả các tệp và gắn thẻ chúng bằng một trong các phần mở rộng sau: .wcry, .wncryt Và .wncry.

Virus khiến dữ liệu trở nên vô dụng bằng cách sử dụng mã hóa mạnh, thay đổi hình nền máy tính, tạo thông báo đòi tiền chuộc “Xin hãy đọc tôi!.txt” và sau đó khởi chạy một cửa sổ chương trình có tên “WannaDecrypt0r” để báo cáo rằng các tệp trên máy tính đã được mã hóa. Phần mềm độc hại kêu gọi nạn nhân trả khoản tiền chuộc từ 300 đến 600 đô la bằng Bitcoin và hứa sẽ xóa tất cả các tệp nếu nạn nhân không trả tiền trong vòng 7 ngày.

Phần mềm độc hại xóa các bản sao ẩn để ngăn chặn việc khôi phục dữ liệu được mã hóa. Ngoài ra, ransomware hoạt động giống như một con sâu vì khi xâm nhập vào máy tính mục tiêu, nó sẽ bắt đầu tìm kiếm các máy tính khác để lây nhiễm.

Mặc dù vi-rút hứa hẹn sẽ khôi phục các tệp của bạn sau khi thanh toán nhưng không có lý do gì để tin tưởng bọn tội phạm. Nhóm trang web khuyến nghị loại bỏ ransomware ở chế độ an toàn bằng trình điều khiển mạng, sử dụng các chương trình chống phần mềm độc hại như .

Tội phạm mạng đã sử dụng phần mềm ransomware này trong một cuộc tấn công mạng quy mô lớn được phát động vào thứ Sáu, ngày 12 tháng 5 năm 2017. Theo các báo cáo gần đây, cuộc tấn công độc hại đã ảnh hưởng thành công đến hơn 230.000 máy tính tại hơn 150 quốc gia.

Tác động của một cuộc tấn công mạng là rất nghiêm trọng vì virus nhắm vào các tổ chức thuộc các lĩnh vực khác nhau, chăm sóc sức khỏe dường như bị ảnh hưởng nặng nề nhất. Do vụ tấn công, nhiều dịch vụ của bệnh viện đã bị đình chỉ, với hàng trăm ca phẫu thuật bị hủy bỏ. Theo báo cáo, các công ty lớn đầu tiên bị ảnh hưởng bởi việc mua lại này là Telefonica, Gas Natural và Iberdrola.

Một số công ty bị ảnh hưởng đã sao lưu dữ liệu, trong khi những công ty khác phải đối mặt với hậu quả bi thảm. Không có ngoại lệ, tất cả nạn nhân nên loại bỏ WannaCry càng sớm càng tốt, vì điều này có thể giúp ngăn chặn sự lây lan thêm của ransomware.

WannaCry lây lan nhờ khai thác EternalBlue

Phương thức lây nhiễm chính của ransomware WannaCry là khai thác EternalBlue, đây là phần mềm gián điệp mạng bị đánh cắp từ Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) và được phát tán trực tuyến bởi một nhóm tin tặc có tên Shadow Brokers.

Cuộc tấn công EternalBlue nhắm vào lỗ hổng Windows CVE-2017-0145 trong giao thức Microsoft SMB (Server Message Block). Lỗ hổng này hiện đã được vá, theo bản tin bảo mật MS17-010 của Microsoft (phát hành ngày 14 tháng 5 năm 2017). Mã khai thác được những kẻ thực thi sử dụng nhằm mục đích lây nhiễm các hệ thống Windows 7 và Windows Server 2008 cũ, nhưng người dùng Windows 10 được cho là có thể không bị ảnh hưởng bởi vi-rút.

Phần mềm độc hại thường xuất hiện dưới dạng một Trojan nhỏ giọt chứa một tập hợp các hoạt động khai thác và chính phần mềm tống tiền. Sau đó, kẻ nhỏ giọt sẽ cố gắng kết nối với một trong các máy chủ từ xa để tải ransomware xuống máy tính. Các phiên bản mới nhất của WannaCry được phân phối thông qua Girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 tại khu vực APAC. Ransomware có thể ảnh hưởng đến bất kỳ ai không có kiến ​​thức về việc phân phối ransomware, vì vậy chúng tôi khuyên bạn nên đọc hướng dẫn này để ngăn chặn ransomware WannaCry do các chuyên gia của chúng tôi chuẩn bị:

1. Cài đặt bản cập nhật bảo mật hệ thống MS17-010, được Microsoft phát hành gần đây, bản cập nhật này sẽ khắc phục lỗ hổng bị ransomware khai thác. Các bản cập nhật được phát hành độc quyền cho các hệ điều hành cũ hơn như Windows XP hoặc Windows 2003.
2. Hãy theo dõi để cập nhật các chương trình máy tính khác.
3. Cài đặt một công cụ chống vi-rút đáng tin cậy để bảo vệ máy tính của bạn khỏi những nỗ lực bất hợp pháp nhằm lây nhiễm phần mềm độc hại vào hệ thống của bạn.
4. Không bao giờ mở email đến từ người lạ hoặc công ty mà bạn không hợp tác kinh doanh.
5. Vô hiệu hóa SMBv1 bằng hướng dẫn do Microsoft cung cấp.

Nhà nghiên cứu cho thấy ảnh chụp màn hình được chụp trong cuộc tấn công WannaCry. Bạn có thể thấy cửa sổ Wanna Decrypt0r cũng như hình ảnh do WannaCry đặt làm nền màn hình của mình sau khi lây nhiễm vào hệ thống và mã hóa tất cả các tệp trên đó.
Phương pháp 1. (Chế độ an toàn)
Chọn "Chế độ an toàn với mạng" Phương pháp 1. (Chế độ an toàn)
Chọn "Bật Chế độ An toàn với Mạng"

Chọn "Chế độ an toàn với dấu nhắc lệnh" Phương pháp 2. (Khôi phục hệ thống)
Chọn "Bật Chế độ An toàn với Dấu nhắc Lệnh"
Phương pháp 2. (Khôi phục hệ thống)
Gõ "cd recovery" không có dấu ngoặc kép và nhấn "Enter"
Phương pháp 2. (Khôi phục hệ thống)
Nhập "rstrui.exe" không có dấu ngoặc kép và nhấn "Enter"
Phương pháp 2. (Khôi phục hệ thống)
Trong cửa sổ "Khôi phục hệ thống" xuất hiện, chọn "Tiếp theo"
Phương pháp 2. (Khôi phục hệ thống)
Chọn điểm khôi phục của bạn và nhấp vào "Tiếp theo"
Phương pháp 2. (Khôi phục hệ thống)
Nhấp vào "Có" và bắt đầu khôi phục hệ thống ⇦ ⇨

Cầu trượt 1 từ 10

Các phiên bản WannaCry

Virus sử dụng mật mã AES-128 để khóa các tệp một cách an toàn, gắn phần mở rộng tệp .wcry vào tên của chúng và yêu cầu chuyển 0,1 Bitcoin vào ví ảo được cung cấp. Phần mềm độc hại ban đầu được phát tán qua email spam; Tuy nhiên, loại virus đặc biệt này không tạo ra nhiều thu nhập cho các nhà phát triển nó. Mặc dù thực tế là các tệp được mã hóa bởi ransomware này hóa ra không thể khôi phục được nếu không có khóa giải mã, các nhà phát triển vẫn quyết định cập nhật chương trình độc hại.

Virus ransomware WannaCrypt0r. Đây là tên gọi khác của phiên bản cập nhật của ransomware. Phiên bản mới nhắm vào các lỗ hổng Windows làm phương tiện tấn công chính và mã hóa tất cả các tệp được lưu trữ trên hệ thống trong vài giây. Các tệp bị nhiễm có thể được nhận dạng thông qua các phần mở rộng được thêm vào tên tệp ngay sau tên tệp gốc - .wncry, wncryt hoặc .wcry.

Không có cách nào để khôi phục dữ liệu bị hỏng nếu không có bản sao lưu hoặc khóa riêng được tạo trong quá trình mã hóa dữ liệu. Virus thường yêu cầu 300 USD, mặc dù nó sẽ tăng giá tiền chuộc lên 600 USD nếu nạn nhân không trả tiền trong vòng ba ngày.

Virus ransomware WannaDecrypt0r. WannaDecrypt0r là chương trình mà virus chạy sau khi xâm nhập thành công vào hệ thống mục tiêu. Các nhà nghiên cứu đã nhận thấy các phiên bản Wanna Decryptor 1.0 và Wanna Decryptor 2.0 đang tiếp cận nạn nhân.

Phần mềm độc hại hiển thị đồng hồ đếm ngược cho biết còn bao nhiêu thời gian để trả tiền chuộc trước khi giá của nó đạt đến mức tối đa, cũng như đồng hồ đếm ngược giống hệt cho biết còn lại bao nhiêu thời gian cho đến khi vi-rút xóa tất cả dữ liệu khỏi máy tính. Phiên bản này đã gây chấn động cộng đồng ảo vào ngày 12 tháng 5 năm 2017, mặc dù vài ngày sau nó đã bị chặn lại bởi một nhà nghiên cứu bảo mật có tên MalwareTech.

Hộp cát

Chỉ huy tàu Ngày 18 tháng 5 năm 2017 lúc 09:52

Cách khôi phục file sau khi mã hóa virus ransomware WannaCry

Chào buổi chiều, Habrazhiteliki. Rất nhiều điều đã được viết trên Habré về cách bảo vệ bạn khỏi WannaCry. Nhưng vì lý do nào đó, không nơi nào giải thích cách trả lại dữ liệu đã mã hóa. Tôi muốn lấp đầy khoảng trống này. Và làm sáng tỏ một chút về cách chúng tôi thực hiện điều này tại công ty “nổi tiếng” liên quan đến lĩnh vực hậu cần. Đây giống như một hướng dẫn dành cho quản trị viên bảo mật thông tin của chúng tôi.

Phục hồi sau khi mã hóa dữ liệu

Đây không phải là Giải mã mà là Phục hồi. Và nó chỉ hoạt động nếu tính năng sao chép bóng được bật trong windows, tức là. Dữ liệu có thể được khôi phục từ chính các điểm khôi phục Windows.

Để thực hiện việc này, bạn có thể sử dụng tiện ích ShadowExplorer - tiện ích này miễn phí và cho phép bạn khôi phục các tệp từ các điểm khôi phục. Điểm khôi phục được tạo mỗi khi hệ thống được cập nhật và điểm cũ sẽ bị ghi đè bởi điểm mới. Số lượng điểm phụ thuộc vào không gian được phân bổ cho các điểm khôi phục. Trung bình, 5-6 trong số chúng được lưu trữ trên Windows trung bình.

Chọn điểm khôi phục và bạn có thể xuất tệp và thư mục đến vị trí bạn cần:

Chọn những tệp chưa được mã hóa và xuất chúng đến vị trí bạn cần.

(Trong một số trường hợp, khi quá trình cập nhật đã trôi qua, các điểm khôi phục đó có thể bị ghi đè khi các tệp chưa được mã hóa. Cũng có thể một số dữ liệu đã được mã hóa trong các điểm khôi phục, nhưng một số thì chưa. Bạn chỉ cần khôi phục những gì có thể khôi phục.)

Về nguyên tắc, đó là tất cả những gì cần thiết để phục hồi nếu có thể.

Quan trọng! Sau khi khôi phục tệp, bạn cần xóa các điểm khôi phục nơi dữ liệu đã được mã hóa. Người ta nhận thấy rằng đây là nơi virus tự phục hồi sau khi dọn dẹp.

Khôi phục dữ liệu, cũng như vô hiệu hóa và diệt virus:

1. Ngắt kết nối máy tính của bạn khỏi mạng
2. Tiếp theo, bạn cần sử dụng tiện ích wann_kill_v_(version number) - tiện ích này sẽ tiêu diệt tiến trình vi-rút. Bản thân các dấu hiệu virus vẫn được lưu trữ trong hệ thống. Chúng tôi làm điều này bởi vì Khi bạn mang ổ đĩa flash vào máy tính cần được khử trùng, vi-rút sẽ mã hóa ổ đĩa flash. Điều quan trọng là phải chạy tiện ích này trước khi vi-rút xâm nhập vào ổ đĩa flash.

3. Làm sạch máy tính của bạn bằng DrWeb CureIt (ở đây virus đã được loại bỏ khỏi máy tính)
4. Khôi phục dữ liệu bạn cần như mô tả ở trên “ Sau khi mã hóa dữ liệu»
5. (Chỉ sau khi khôi phục dữ liệu) Phá hủy các điểm khôi phục, vì đây là nơi virus tự phục hồi sau khi dọn dẹp.

Bảo vệ hệ thống:

Điều chỉnh:

Xóa bỏ.

6. Sau đó tung ra bản vá KB4012212, từ đó đóng lỗ hổng mạng MS17-010
7. Bật mạng và cài đặt (hoặc cập nhật) phần mềm diệt vi-rút.

Về cơ bản đó là cách tôi chiến đấu với virus Wanna Cry.

Tags: WannaCry, Giải mã

Một làn sóng virus mã hóa mới WannaCry (tên khác Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) đã càn quét khắp thế giới, mã hóa tài liệu trên máy tính và đòi 300-600 USD để giải mã. Làm thế nào bạn có thể biết liệu máy tính của bạn có bị nhiễm virus hay không? Bạn nên làm gì để tránh trở thành nạn nhân? Và phải làm gì để phục hồi?

Sau khi cài đặt các bản cập nhật, bạn sẽ cần phải khởi động lại máy tính của mình.

Làm cách nào để phục hồi khỏi virus ransomware Wana Decrypt0r?

Tiện ích diệt virus khi phát hiện có virus sẽ loại bỏ ngay hoặc hỏi bạn có nên xử lý hay không? Câu trả lời là để điều trị.

Làm cách nào để khôi phục các tập tin được mã hóa bởi Wana Decryptor?

Chúng tôi không thể nói bất cứ điều gì yên tâm vào lúc này. Chưa có công cụ giải mã tập tin nào được tạo. Hiện tại, tất cả những gì còn lại là đợi cho đến khi bộ giải mã được phát triển.

Theo Brian Krebs, chuyên gia bảo mật máy tính, hiện tại bọn tội phạm mới nhận được 26.000 USD, tức chỉ có khoảng 58 người đồng ý trả tiền chuộc cho những kẻ tống tiền. Không ai biết liệu họ có khôi phục được tài liệu của mình hay không.

Làm thế nào để ngăn chặn sự lây lan của virus trực tuyến?

Trong trường hợp của WannaCry, giải pháp cho vấn đề có thể là chặn cổng 445 trên Tường lửa, nơi lây nhiễm xảy ra.