Вирус-шифровальщик WannaCry: что делать? Вирус Wanna Cry: защита, лечение, удаление, дешифровка

12 мая примерно в 13MSK разорвалась «бомба», началось распространение вируса Wana Decryptor. Практически за несколько часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.

К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать используя такие программы как ShadowExplorer и PhotoRec.

Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которой от текущей (2.0) был способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.

И последним именем, которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Как Wana Decryptor проникает на компьютер?

Причиной быстрого распространения Wana Decrypt0r шифровальщика является наличие уязвимости в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версия Windows, от Windows 7 до Windows 10. Ещё 14 марта 2017 г. было выпущено обновление «MS17-010: Обновление безопасности для Windows SMB Server» (ссылка), но как показывает скорость распространения вируса, это обновление было установлено далеко не на все компьютеры.

Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.

Как WanaDecryptor зашифровывает файлы на компьютере?

При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry

После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.

На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.

Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.

Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после того как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».

Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @[email protected] — содержит инструкцию по-расшифровке файлов и @[email protected] — дешифровщик зашифрованных файлов.

На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.

Как восстановить зашифрованные WNCRY файлы?

Как уже было сказано ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec. Подробно процесс их использования описан в этом руководстве .

Если у вас возникли вопросы или ваш нужна помощь, то можете создать новую тему на нашем форуме или оставить комментарий ниже.

Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?

Сначала вам необходимо закрыть уязвимость в операционной системе, установив обновление MS17-010, ссылку на которое вы можете найти в начале этой статьи. Если установить обновление невозможно, значит отключите использование протокола SMBv1 (Как включить и отключить SMBv1, ссылка) или в файрволе заблокируйте входящие соединения на порт 445.

Для организации полноценной защиты компьютера вам необходимы, как минимум бесплатный антивирус (смотрите эту статью ) и программа для борьбы с вредоносным ПО (смотрите эту статью ). Мы рекомендуем использовать Zemana Anti-malware или Malwarebytes. Полные версии этих программ так же включают дополнительный модуль, блокирующий запуск вирусов шифровальщиков.

Мощнейшая атака вирусом Wana Decryptor началась вчера 12 мая 2017 года, тысячи компьютеров были поражены по всему миру. За несколько часов в мир насчитывалось 45000 зараженных компьютеров, это цифра росла каждую минуту.

Наиболее пострадавшей страной оказалась Россия, по сей день вирусная атака продолжается и сейчас хакеры пытаются захватить банковский сектор. Вчера главная атака пришлась на компьютеры обыкновенных пользователей и сеть МВД России.

Программа шифрует доступ к различным файлам на вашем компьютере и предлагает получить к ним доступ лишь после оплаты биткоинами. Таким образом хакеры могут миллионы долларов. Расшифровать WNCRY файлы пока нет возможности, но можно восстановить зашифрованные файлы с помощью программ ShadowExplorer и PhotoRec, но гарантий дать никто не может.

Часто этот вирус шифровальщик называют Wana Decryptor, однако, у него есть также и другие названия WanaCrypt0r, Wanna Cry или Wana Decrypt0r. До этого у основного вируса был шифровальщик младший брат Wanna Cry и WanaCrypt0r. Позже цифру «0» заменили на букву «o», а основной вирус стал называться Wana Decrypt0r.

В конце к зашифрованному файлу вирус добавляет расширение WNCRY, иногда по этой аббревиатуре его и называют.

Как Wana Decryptor заражает компьютер?

Компьютеры под управлением операционной системы Windows имеют в себе уязвимость в службе SMB. Данная дырка имеет во всех операционной системы Windows версии 7 до Windows 10. В марте корпорация выпустила патч-обновление «MS17-010: Обновление безопасности для Windows SMB Server», однако, по количеству зараженных компьютеров видно, что многие проигнорировали данное обновление.

В конце своей работы вирус Wana Decryptor попытается удалить все копии файлов и другие быкапы системы, чтобы в случае чего ее нельзя было восстановить. Для этого он запросит у пользователя права администратора, операционная система Windows покажет предупреждение от службы UAC. Если пользователь откажется предоставлять полные права, тогда копии файлов останутся на компьютере и пользователь сможет их восстановить абсолютно бесплатно.

Как восстановить зашифрованные Wana Decryptor файлы и защитить компьютер?

Единственной возможностью восстановить файлы, которые были зашифрованы вирусом – это использовать программы ShadowExplorer и PhotoRec. Как происходит восстановление зашифрованных файлов читайте в руководстве к этим программам.

Чтобы предотвратить заражение компьютера вирусом-шифровальщиком WNCRY нужно закрыть все уязвимости в системе. Для этого скачайте обновление MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

Кроме этого не забывайте устанавливать на компьютера антивирус Zemana Anti-malware или Malwarebytes, в платной полной версии они обеспечат блокировку запуска вирусов шифровальщиков.

WannaCry Decryptor (или WinCry, WannaCry, .wcry, WCrypt , WNCRY, WanaCrypt0r 2.0), уже называют “вирусом 2017 года”. И совсем не безосновательно. Только за первые 24 часа с момента начала своего распространения – данный шифровальщик поразил больше 45000 компьютеров. Некоторые же исследователи считают что на данный момент (15 мая) заражено уже больше миллиона компьютеров и серверов. Напомним, что вирус начал распространятся 12 мая. Первыми пострадали пользователи из России, Украины, Индии и Тайваня. На данный же момент вирус с большой скоростью распространяется в Европе, США и Китае.

Была зашифрована информация на компьютерах и серверах государственных учреждений (в частности МВД России), госпиталей, транснациональных корпораций, университетов и школ.

Wana Decryptor (Wanna Cry или Wana Decrypt0r) парализовал работу сотен компаний и госучреждений во всем мире

По сути WinCry (WannaCry) – это эксплоит семейства EternalBlue, который использует довольно-таки старую уязвимость операционной системы Windows (Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10) и в “тихом” режиме загружает себя в систему. После чего с помощью стойких к расшифровке алгоритмов шифрует данные пользователей (документы, фото, видео, электронные таблицы, базы данных) и требует выкуп за расшифровку данных. Схема не нова, мы постоянно пишем о новых разновидностях шифровальщиков файлов – но вот метод распространения новый. И это привело к эпидемии.

Симптомы:

После успешной установки на ПК пользователя WannaCry пытается распространяться по локальной сети на другие ПК, как червь. Зашифрованные файлы получают системное расширение.WCRY и становятся полностью нечитаемыми и расшифровать их самостоятельно не предоставляется возможным. После полного шифрования Wcry меняет обои рабочего стола и оставляет “инструкции” по расшифровке файлов в папках с зашифрованными данными.

Поначалу хакеры вымогали $300 за ключи расшифровки, но потом подняли эту цифру до $600.

Как предостеречь заражение вашего ПК шифровальщиком WannaCry Decryptor?

Скачать обновление операционной системы с сайта Microsoft.

Что делать если Ваш ПК заражен?

Используйте инструкции ниже для того чтобы попытаться восстановить хотя-бы часть информации на зараженном ПК. Обновите антивирус и установите патч операционной системы . Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп - никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Удалить шифровальщик WannaCry с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). .
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя WannaCry

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика . К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.



СХОЖИЕ СТАТЬИ