Анонимность
Как покеристу защититься от вируса-вымогателя «WannaCrypt. Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы Как вымогают деньги

Как покеристу защититься от вируса-вымогателя «WannaCrypt. Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы Как вымогают деньги

Уже несколько дней вирус-вымогатель WannaCrypt (WannaCry, WCry, WNCRY) терроризирует компьютеры по всему миру. Вирус по всему миру, был на некоторое время специалистами, но сумел найти способ обойти ограничения и прокатился .

Что происходит при заражении

Вирус WannaCrypt (WannaCry, WCry, WNCRY) сканирует компьютерные диски и шифрует файлы на нем, добавляя к ним расширение WNCRY. Таким образом пользовательские данные и системные файлы становятся недоступными. Даже если антивирус заблокирует вредоносное ПО, то файлы все равно остаются зашифрованными.

На экране зараженного компьютера отображается сообщение с требованием выкупа за свои данные. Предлагается перевести определенную сумму в биткойнах на кошелек вымогателя.

Как защититься от вируса WannaCrypt

На данный момент компьютерный вирус WannaCrypt опасен только для ОС Windows и не затрагивает пользователей macOS.

Для защиты компьютера под управлением Windows от вируса WannaCrypt необходимо скачать с официального сайта Microsoft патч MS17-010 , которые устраняет уязвимость, используемую вирусом. Из-за масштабности заражения, компания Microsoft выпустила обновление для всех своих ОС , включая Windows XP, которая с 2004 года не поддерживается.

Смотри также еще один способ защиты от вируа WannaCrypt при помощи закрытия 445 порта:

По заверениям Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов стоит загрузить последнюю версию и включить мониторинг системы. После необходимо проверить систему и в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) - вновь перезагрузиться и убедиться, что патч MS17-010 установлен на вашем компьютере.

Что делать, если компьютер уже заражен вирусом WannaCrypt

Если ваш компьютер уже заразил вирус-вымогатель WannaCrypt (WannaCry, WCry, WNCRY), рекомендуют сделать следующие действия:

1 - Включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это делается при перезагрузке системы и нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2 - Можно самостоятельно удалить нежелательные приложения через Удаление программ. Но для избежания ошибки и нанесения случайного ущерба системе, лучше воспользоваться антивирусными программами (например, SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla)

3 - Последний шаг - восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Смотри инструкцию по удалению вируса WannaCrypt:

К сожалению, все эти способы не гарантируют полного восстановления файлов, если вы заранее не сделали резервные копии данных.

WannaCry вирус — это программа-вымогатель, которая использует EternalBlue эксплойт для заражения компьютеров, работающих под управлением операционной системы Microsoft Windows. Вымогатель также известен как WannaCrypt0r , WannaCryptor , WCry , и Wana Decrypt0r . Как только он попадает на целевой компьютер, он быстро шифрует все файлы и помечает их одним из следующих расширений: .wcry , .wncryt и .wncry .

Вирус делает данные бесполезными с помощью сильного шифрования, меняет обои для рабочего стола, создает записку о выкупе “Please Read Me!.txt” а затем запускает окно программы под названием “WannaDecrypt0r”, которое сообщает, что файлы на компьютере были зашифрованы. Вредоносная программа призывает жертву выплатить выкуп в размере от $300 до $600 в биткоинах и обещает удалить все файлы, если жертва не заплатит деньги в течении 7 дней.

Вредоносная программа удаляет теневые копии, чтобы предотвратить восстановление зашифрованных данных. Кроме того, вымогатель действует как червь, потому что как только он попадает на целевой компьютер, он начинает искать другие компьютеры, которые можно заразить.

Несмотря на то, что вирус обещает восстановить ваши файлы после оплаты, нет оснований доверять преступникам. Команда сайт рекомендует удалять вымогатели в безопасном режиме с помощью драйверов сети, используя программы защиты от вредоносных программ, такие как .

Киберпреступники использовали этого вымогателя в массовой кибер-атаке, которая была запущена в пятницу, 12 мая 2017 года. Согласно последним сообщениям, злоумышленная атака успешно затронула больше 230 000 компьютеров в более чем 150 странах.

Воздействие кибератаки ужасно, так как вирус нацелен на организации из разных секторов, здравоохранение, похоже, страдает больше всего. Из-за нападения были приостановлены различные больничные услуги, например, были отменены сотни операций. Согласно сообщениям, первыми крупными компаниями, пострадавшими от этого выкупа, были Telefonica, Gas Natural и Iberdrola.

Некоторые из затронутых компаний имели резервные копии данных, в то время как другие сталкивались с трагическими последствиями. Без исключения, всем жертвам рекомендуется как можно скорее удалить WannaCry, так как это может помочь предотвратить дальнейшее распространение вымогателя.

WannaCry распространяется, используя EternalBlue эксплойт

Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.

Атака EternalBlue нацелена на Windows CVE-2017-0145 уязвимость в Microsoft протоколе SMB (Server Message Block). Уязвимость уже исправлена, сообщается в бюллетене по безопасности Microsoft MS17-010 (выпущенном 14 мая 2017 г.). Эксплойт-код, используемый исполнителями, предназначался для заражения устаревших систем Windows 7 и Windows Server 2008, но, по сообщениям, пользователи Windows 10 не могут быть затронуты этим вирусом.

Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:

Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
Следите за обновлениями остальных компьютерных программ.
Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами.
Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса.
Отключите SMBv1, используя инструкции, предоставленные Microsoft.

Версии WannaCry

Вирус использует криптографический шифр AES-128 для надежной блокировки файлов, добавляет файл расширение.wcry к их именам и просит передать 0,1 биткойн в предоставленный виртуальный кошелек. Первоначально вредоносное ПО распространялось через спам письма электронной почты; Однако, конкретно этот вирус не принес много доходов для его разработчиков. Несмотря на то, что файлы, зашифрованные этим вымогателем, оказались невосстанавливаемыми без ключа дешифрования, разработчики решили обновить вредоносную программу.

Вирус-вымогатель WannaCrypt0r . Это еще одно название обновленной версии вымогателя. Новая версия выбирает уязвимости Windows как основной вектор атаки и зашифровывает все файлы, хранящиеся в системе за считанные секунды. Зараженные файлы могут быть распознаны через расширения, добавленные к имени файла сразу после оригинального имени файла — .wncry, wncryt или.wcry.

Невозможно восстановить поврежденные данные без резервных копий или закрытого ключа, созданного во время процесса шифрования данных. Обычно вирус требует $300, хотя он повышает цену выкупа $600, если жертва не заплатит деньги в течение трех дней.

Вирус-вымогательWannaDecrypt0r . WannaDecrypt0r — это программа, которую вирус запускает после успешного проникновения в целевую систему. Исследователи уже заметили версии Wanna Decryptor 1.0 и Wanna Decryptor 2.0, приближающиеся к жертвам.

Вредоносная программа отображает часы с обратным отсчетом, показывающие, сколько времени осталось, чтобы заплатить выкуп до тех пор, пока цена его не достигнет максимума, а также идентичные часы обратного отсчета, показывающие, сколько времени осталось до тех пор, пока вирус не удалит все данные с компьютера. Эта версия потрясла виртуальное сообщество 12 мая 2017 года, хотя спустя несколько дней его остановил исследователь безопасности, который носит имя MalwareTech.

Как удалить WannaCry и восстановить зашифрованные файлы?

Вам следует полагаться только на профессиональные методы удаления вируса WannaCry и не пытаться вручную удалить эту вредоносную программу. Вирус чрезвычайно опасен и использует сложные меры для распространения через всю компьютерную систему, а также заражает подключенные компьютеры и интеллектуальные устройства. Чем скорее вы отключите этот вирус, тем лучше, так что не теряйте больше времени.

Если у вас есть резервные копии данных, не спешите подключать их или копировать на зараженный компьютер. Для достижения наилучших результатов мы рекомендуем следовать этим рекомендациям по удалению WannaCry, предоставленным командой bedynet.ru.

Распространение вируса WannaCrypt (его также называют WCry) началось днем 12 мая. Одной из первых атаке подверглась Испания; там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, Iberdrola, занимающаяся поставками электричества, банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения. "Лаборатория Касперского" зафиксировала порядка 45 тысяч попыток атак в 74 странах по всему миру, большинство из них — в России, Украине и Тайване.

Как вымогают деньги

Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя, в результате чего их больше нельзя использовать. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную $300, по другим данным — $600.

Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают "бесплатные мероприятия" для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.

Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов (1, 2, 3, 4). Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно $12 тыс. Учитывая, что пользователи обычно откладывают выкуп на последний день, "прибыль" может вырасти многократно.

Это, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории.

Точками отмечены места заражения вирусом

Как работает вирус

Для атаки хакеры использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США, сообщает BBC. Она была украдена хакерами The Shadow Brokers у хакеров Equation Group в августе 2016 года и опубликована в апреле 2017-го.

О связи Equation Group c Агентством национальной безопасности США писали в WikiLeaks.

Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Всем, у кого система обновилась, вирус не угрожает. Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Windows подготовил , которое полностью исключает возможность заражения вирусом.

Сбора информации.

12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.

Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.

Данная уязвимость закрывается патчем MS17-010 (Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)

Скачать исправление безопасности.

Как работает Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for "@[email protected]"

При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО

В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,

Далее WanaCrypt0r скачивает TOR браузер (Download Tor) который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам.

CMD/BATCH:

Icacls . /grant Everyone:F /T /C /Q

Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
А так же пытается завершить следующие процессы:

CMD/BATCH:

Taskkill.exe /f /im mysqld.exe taskkill.exe /f /im sqlwriter.exe taskkill.exe /f /im sqlserver.exe taskkill.exe /f /im MSExchange* taskkill.exe /f /im Microsoft.Exchange.*

Это позволит зашифровать базы данных.

Вымогатель шифрует файлы со следующими расширениями

Код:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного

После шифрования файлов каталоге добавляются два файла:

@[email protected] - сообщение вымогателя
@[email protected] - дешифровщик

Далее производится попытка очистить теневые копии и другие возможности восстановить файлы встроенными средствами Windows (восстановление системы, резервные копии и т.д.)

CMD/BATCH:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

!!При попытке выполнить команды очистки сработает запрос UAC и если ответить НЕТ, то команда выполнена не будет, что дает высокие шансы восстановить информацию. Если у вас отключен UAC (например, если у вас серверная OS), то примите мои соболезнования.

Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.

Как расшифровать файлы после WanaCrypt0r?
Если в запросе UAC вы ответили нет, то поможет . Так же поможет программа ShadowExplorer.
На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.

Как предотвратить заражение шифровальщиком-вымогателем?

Абсолютной защиты не существует.
Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
Используйте антивирус или будьте готовы к ликвидации последствий.
Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.

Программа которая поможет избежать активации шифровальщика -

Выкуп:Win32 С/WannaCrypt.А!РСМ является вредоносной вирус, выявленных несколькими антивирусами и анти-вредоносного программного обеспечения. Выкуп:Win32 С/WannaCrypt.А!эвристическое обнаружение РСМ классифицируется как вирус потому что это наносит и действует как вредоносного угрозы в Windows ХР, Windows Vista, Windows 7, Windows 8 или 10 Windows компьютерной системы.

Что такое выкуп:Win32 с/WannaCrypt.А!РСМ?

Выкуп:Win32 С/WannaCrypt.А!РСМ изменяет системные файлы, новые папки добавить, создает Windows задачи и добавляет файлы для заражения и взлома компьютерной системы. Выкуп:Win32 С/WannaCrypt.А!РСМ-это вирус, который загружается и упал на вашем компьютере во время серфинга в интернете.

Как же выкуп:Win32 с/WannaCrypt.А!РСМ заразить компьютер?

Большинство пользователей понятия не имеют, как этот выкуп:Win32 с/WannaCrypt.А!опасный РСМ установлена на их компьютере, пока их антивирусные программы определяют ее как вредоносную угрозу, вредоносных программ или вирусов.

Выкуп:Win32 С/WannaCrypt.А!удаление РСМ

Если ваша защита обнаруживает выкуп:Win32 с/WannaCrypt.А!вирус РСМ, не помеченных на удаление по умолчанию. Он определяется как вредоносный и советуют удалить ransom:Win32 с/WannaCrypt.А!РСМ с вашего компьютера.

Шаг 1: Остановите все Ransom:Win32/WannaCrypt.A!rsm процессы в диспетчере задач

Шаг 2: Удалите Ransom:Win32/WannaCrypt.A!rsm сопутствующие программы

Шаг 3: Удалите вредоносные Ransom:Win32/WannaCrypt.A!rsm записи в системе реестра

Шаг 4: Устранить вредоносные файлы и папки, связанные с Ransom:Win32/WannaCrypt.A!rsm

Шаг 5: Удаление Ransom:Win32/WannaCrypt.A!rsm из вашего браузера

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. и .

Internet Explorer

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. и .

Mozilla Firefox

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. и .

Google Chrome

* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. . Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, .