Le virus WannaCry a fait son apparition dans le monde entier le 12 mai. Ce jour-là, plusieurs institutions médicales du Royaume-Uni ont annoncé que leurs réseaux avaient été infectés, la société de télécommunications espagnole et le ministère russe de l'Intérieur ont annoncé avoir repoussé une attaque de pirate informatique.

WannaCry (le commun des mortels l'a déjà surnommé Wona's Edge) appartient à la catégorie des virus ransomwares (crypteurs) qui, lorsqu'ils pénètrent dans un PC, cryptent les fichiers des utilisateurs avec un algorithme cryptographique, rendant ainsi impossible la lecture de ces fichiers.

Sur ce moment, les éléments suivants sont connus extensions populaires fichiers soumis au cryptage WannaCry :

1. Populaire Fichiers Microsoft Bureau (.xlsx, .xls, .docx, .doc).
2. Fichiers d'archives et multimédias (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - comment le virus se propage

Plus tôt, nous avons évoqué cette méthode de propagation des virus dans un article sur ce sujet, ce n’est donc pas nouveau.

Sur Boites aux lettres l'utilisateur reçoit une lettre avec une pièce jointe « inoffensive » - il peut s'agir d'une image, d'une vidéo, d'une chanson, mais au lieu de l'extension standard pour ces formats, la pièce jointe aura une extension de fichier exécutable - exe. Lorsqu'un tel fichier est ouvert et lancé, le système est « infecté » et, grâce à une vulnérabilité, un virus est directement chargé dans le système d'exploitation Windows, cryptant les données de l'utilisateur.

Ce n'est peut-être pas la seule méthode de propagation de WannaCry ; vous pouvez devenir une victime en téléchargeant des fichiers « infectés » depuis dans les réseaux sociaux, trackers torrent et autres sites.

WannaCry – comment se protéger du virus ransomware

1. Installez le correctif pour Microsoft Windows. Le 14 mai, Microsoft a publié un correctif d'urgence pour prochaines versions-Vista, 7, 8.1, 10, Serveur Windows. Vous pouvez installer ce correctif simplement en exécutant une mise à jour du système via le service Windows Update.

2. Utiliser un logiciel antivirus avec des bases de données à jour. Des développeurs de logiciels de sécurité bien connus, tels que Kaspersky et Dr.Web, ont déjà publié une mise à jour de leurs produits contenant des informations sur WannaCry, protégeant ainsi leurs utilisateurs.

3. Enregistrez les données importantes sur un support distinct. Si votre ordinateur ne le prend pas encore en charge, vous pouvez économiser le maximum fichiers importants sur un support séparé (lecteur flash, disque). Avec cette approche, même si vous devenez victime, vous éviterez le cryptage des fichiers les plus précieux.

Pour le moment, tout cela est connu moyens efficaces protection contre WannaCry.

Décrypteur WannaCry, où télécharger et est-il possible de supprimer le virus ?

Les virus Ransomware appartiennent à la catégorie des virus les plus « méchants », car... dans la plupart des cas, les fichiers utilisateur sont cryptés avec une clé de 128 bits ou 256 bits. Le pire c'est que dans chaque cas la clé est unique et que le décryptage de chacune nécessite d'énormes Puissance de calcul, ce qui rend presque impossible le traitement des utilisateurs « ordinaires ».

Mais que se passe-t-il si vous êtes victime de WannaCry et avez besoin d’un décrypteur ?

1. Contactez le forum d'assistance de Kaspersky Lab - https://forum.kaspersky.com/ avec une description du problème. Le forum est composé à la fois de représentants d'entreprises et de bénévoles qui contribuent activement à résoudre les problèmes.

2. Comme dans le cas du crypteur bien connu CryptXXX, une solution universelle a été trouvée pour décrypter les fichiers cryptés. Pas plus d'une semaine s'est écoulée depuis la découverte de WannaCry et des spécialistes de laboratoires antivirus Nous n’avons pas encore trouvé une telle solution.

3. La solution cardinale sera - suppression complète OS depuis un ordinateur suivi de installation propre nouveau. Dans cette situation, tous les fichiers et données utilisateur sont complètement perdus, ainsi que la suppression de WannaCry.

WannaCry est un programme spécial qui bloque toutes les données du système et laisse à l'utilisateur seulement deux fichiers : des instructions sur la marche à suivre et le programme Wanna Decryptor lui-même - un outil pour déverrouiller les données.

La plupart des entreprises impliquées dans sécurité informatique, disposez d’outils de décryptage de rançon qui peuvent contourner logiciel. Pour le commun des mortels, la méthode de « traitement » est encore inconnue.

Décrypteur WannaCry ( ou WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), est déjà appelé le « virus de 2017 ». Et pas du tout sans raison. Dans les 24 heures suivant le début de sa propagation, ce ransomware a infecté plus de 45 000 ordinateurs. Certains chercheurs estiment qu'à l'heure actuelle (15 mai), plus d'un million d'ordinateurs et de serveurs ont déjà été infectés. Rappelons que le virus a commencé à se propager le 12 mai. Les premiers concernés ont été les utilisateurs de Russie, d'Ukraine, d'Inde et de Taiwan. Actuellement, le virus se propage à grande vitesse en Europe, aux États-Unis et en Chine.

Les informations étaient cryptées sur les ordinateurs et les serveurs des agences gouvernementales (en particulier du ministère russe de l'Intérieur), des hôpitaux, des sociétés transnationales, des universités et des écoles.

Wana Décrypteur ( Vouloir pleurer ou Wana Decrypt0r) a paralysé le travail de centaines d'entreprises et d'agences gouvernementales à travers le monde

Essentiellement, WinCry (WannaCry) est un exploit de la famille EternalBlue qui utilise une vulnérabilité assez ancienne système opérateur Windows (Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10) démarre automatiquement le système en mode silencieux. Puis, à l'aide d'algorithmes résistant au décryptage, il crypte les données des utilisateurs (documents, photos, vidéos, feuilles de calcul, base de données) et demande une rançon pour décrypter les données. Le schéma n'est pas nouveau, nous écrivons constamment sur de nouveaux types de chiffreurs de fichiers - mais la méthode de distribution est nouvelle. Et cela a conduit à une épidémie.

Comment fonctionne le virus

Le malware analyse Internet à la recherche d'hôtes à la recherche d'ordinateurs dotés du port TCP 445 ouvert, responsable de la maintenance du protocole SMBv1. Après avoir détecté un tel ordinateur, le programme tente à plusieurs reprises d'exploiter la vulnérabilité EternalBlue et, en cas de succès, installe la porte dérobée DoublePulsar, à travers laquelle le code exécutable du programme WannaCry est téléchargé et lancé. À chaque tentative d'exploitation, le malware vérifie la présence de DoublePulsar sur l'ordinateur cible et, s'il est détecté, télécharge directement via cette porte dérobée.

À propos, ces chemins ne sont pas suivis par les véhicules modernes programmes antivirus, ce qui a rendu l’infection si répandue. Et c’est un énorme pavé dans le jardin des développeurs de logiciels antivirus. Comment cela a-t-il pu permettre que cela se produise ? Pourquoi prends-tu de l'argent ?

Une fois lancé, le malware agit comme un ransomware classique : il génère une paire de clés asymétriques RSA-2048 unique pour chaque ordinateur infecté. Ensuite, WannaCry commence à analyser le système à la recherche de fichiers utilisateur de certains types, laissant intacts ceux qui sont essentiels à son fonctionnement ultérieur. Chaque fichier sélectionné est crypté à l'aide de l'algorithme AES-128-CBC avec une clé unique (aléatoire) pour chacun d'eux, qui à son tour est cryptée avec la clé publique RSA du système infecté et est stockée dans l'en-tête du fichier crypté. Dans ce cas, l'extension est ajoutée à chaque fichier crypté .wncry. La paire de clés RSA du système infecté est cryptée Clé publique attaquants et leur est envoyé sur des serveurs de contrôle situés dans Réseaux Tor, après quoi toutes les clés sont supprimées de la mémoire de la machine infectée. Une fois le processus de cryptage terminé, le programme affiche une fenêtre vous demandant de transférer une certaine quantité de Bitcoin (équivalent à 300 $) vers le portefeuille spécifié dans les trois jours. Si la rançon n’est pas reçue à temps, son montant sera automatiquement doublé. Le septième jour, si WannaCry n'est pas supprimé du système infecté, les fichiers cryptés sont détruits. Le message s'affiche dans la langue correspondant à celle installée sur l'ordinateur. Au total, le programme prend en charge 28 langues. Parallèlement au cryptage, le programme analyse les adresses Internet arbitraires et réseau local pour l’infection ultérieure de nouveaux ordinateurs.

Selon une étude de Symantec, l'algorithme des attaquants pour suivre les paiements individuels à chaque victime et leur envoyer la clé de déchiffrement est mis en œuvre avec une erreur de condition de concurrence. Cela rend les paiements de rançon inutiles, car les clés individuelles ne seront en aucun cas envoyées et les fichiers resteront cryptés. Cependant, il y a méthode fiable décrypter les fichiers utilisateur de moins de 200 Mo, ainsi que certaines chances de récupérer des fichiers plus grande taille. De plus, sur les systèmes Windows XP et Windows Server 2003 obsolètes, en raison des particularités de la mise en œuvre par le système de l'algorithme de calcul des nombres pseudo-aléatoires, il est même possible de récupérer les clés RSA privées et de décrypter tous les fichiers concernés si l'ordinateur ne l'a pas fait. été redémarré depuis le moment de l'infection. Plus tard, un groupe d'experts français en cybersécurité de Comae Technologies a étendu cette fonctionnalité à Windows 7 et l'a mise en pratique en la publiant dans accès libre utilitaire WanaKiwi, qui vous permet de décrypter des fichiers sans rançon.

Dans du code versions précédentes Le programme était doté d'un mécanisme d'autodestruction, appelé Kill Switch - le programme vérifiait la disponibilité de deux domaines Internet spécifiques et, s'ils étaient présents, était complètement supprimé de l'ordinateur. Cela a été découvert pour la première fois par Marcus Hutchins le 12 mai 2017. (Anglais) russe , un analyste de virus de 22 ans pour la société britannique Kryptos Logic, qui écrit sur Twitter sous le pseudo @MalwareTechBlog et a enregistré l'un des domaines à son nom. Ainsi, il a pu bloquer temporairement et partiellement la propagation de cette modification du programme malveillant. Le 14 mai, le deuxième domaine a été enregistré. Dans les versions ultérieures du virus, ce mécanisme d'auto-désactivation a été supprimé, mais cela n'a pas été fait dans la version d'origine. code de programme, et en éditant le fichier exécutable, ce qui permet de supposer l'origine ce correctif non pas des auteurs du WannaCry original, mais d'attaquants tiers. En conséquence, le mécanisme de cryptage a été endommagé et cette version du ver ne peut se propager qu'en trouvant des ordinateurs vulnérables, mais n'est pas capable de leur causer des dommages directs.

Le taux de propagation élevé de WannaCry, unique pour les ransomwares, est assuré par l'utilisation d'une vulnérabilité publiée en février 2017 protocole réseau Salle d'opération PME Systèmes Microsoft Windows, comme décrit dans le bulletin MS17-010. Si, dans le schéma classique, le ransomware a pénétré dans l’ordinateur grâce aux actions de l’utilisateur lui-même via un e-mail ou un lien Web, alors dans le cas de WannaCry, la participation de l’utilisateur est totalement exclue. Durée entre les détections ordinateur vulnérable et son infection complète dure environ 3 minutes.

La société de développement a confirmé la présence d'une vulnérabilité dans absolument tous les produits utilisateur et serveur qui implémentent le protocole SMBv1 - depuis Windows XP/Windows Server 2003 jusqu'à Windows 10/Windows Server 2016. Le 14 mars 2017, Microsoft a publié une série de mises à jour conçues pour neutraliser la vulnérabilité de tous les systèmes d'exploitation pris en charge. Suite à la diffusion de WannaCry, la société a pris une mesure sans précédent en publiant également des mises à jour pour les produits en fin de support (Windows XP, Windows Server 2003 et Windows 8) le 13 mai.

Propagation du virus WannaCry

Le virus peut se propager de différentes manières :

• Via un seul réseau informatique ;
• Par mail;
• Via navigateur.

Personnellement, je ne comprends pas très bien pourquoi connexion réseau non analysé par un antivirus. La même méthode d'infection que la visite d'un site Web ou d'un navigateur prouve l'impuissance des développeurs et que les fonds demandés pour des logiciels sous licence destinés à protéger un PC ne sont en aucun cas justifiés.

Symptômes d'infection et traitement du virus

Après une installation réussie sur le PC de l'utilisateur, WannaCry tente de se propager à travers le réseau local vers d'autres PC comme un ver. Les fichiers cryptés reçoivent l'extension système .WCRY et deviennent complètement illisibles et il n'est pas possible de les déchiffrer vous-même. Après le cryptage complet, Wcry modifie le fond d'écran du bureau et laisse des « instructions » pour décrypter les fichiers dans les dossiers contenant les données cryptées.

Dans un premier temps, les pirates ont extorqué 300 dollars pour des clés de décryptage, mais ont ensuite porté ce chiffre à 600 dollars.

Comment empêcher votre PC d’être infecté par le ransomware WannaCry Decryptor ?

Téléchargez la mise à jour du système d'exploitation sur le site Web de Microsoft.

Ce qu'il faut faire Votre PC est infecté ?

Utilisez les instructions ci-dessous pour essayer de récupérer au moins certaines informations sur le PC infecté. Mettez à jour votre antivirus et installez le correctif du système d'exploitation. Un décrypteur pour ce virus n’existe pas encore dans la nature. Nous déconseillons fortement de payer une rançon aux attaquants - il n'y a aucune garantie, pas même la moindre, qu'ils déchiffreront vos données après avoir reçu la rançon.

Supprimez le ransomware WannaCry à l'aide d'un nettoyeur automatique

Exclusivement méthode efficace travailler avec des logiciels malveillants en général et des ransomwares en particulier. L'utilisation d'un complexe protecteur éprouvé garantit une détection approfondie de tout composants viraux, leur suppression complète en un seul clic. Veuillez noter que nous parlons de deux processus différents : la désinstallation de l'infection et la restauration des fichiers sur votre PC. Toutefois, la menace doit certainement être supprimée, car il existe des informations sur l'introduction d'autres chevaux de Troie informatiques qui l'utilisent.

1. Téléchargez le programme de suppression du virus WannaCry. Après avoir démarré le logiciel, cliquez sur le bouton Démarrer l'analyse de l'ordinateur(Lancez la numérisation). Téléchargez le programme de suppression du ransomware Vouloir pleurer .
2. Le logiciel installé fournira un rapport sur les menaces détectées lors de l'analyse. Pour supprimer toutes les menaces détectées, sélectionnez l'option Corriger les menaces(Éliminer les menaces). Le malware en question sera complètement supprimé.

Restaurer l'accès aux fichiers cryptés

Comme indiqué, le ransomware no_more_ransom verrouille les fichiers à l'aide d'un algorithme de cryptage puissant afin que les données cryptées ne puissent pas être restaurées d'un simple glissement. baguette magique- si vous ne tenez pas compte du paiement d'un montant de rançon inédit. Mais certaines méthodes peuvent vraiment vous sauver la vie et vous aider à récupérer des données importantes. Ci-dessous, vous pouvez vous familiariser avec eux.

Programme récupération automatique fichiers (décrypteur)

Une circonstance très inhabituelle est connue. Cette infection efface les fichiers originaux sous forme non cryptée. Le processus de chiffrement à des fins d’extorsion cible ainsi leurs copies. Cela permet à des logiciels tels que Récupération de données Pro restaurer les objets effacés, même si la fiabilité de leur suppression est garantie. Il est fortement recommandé de recourir à la procédure de récupération de fichiers ; son efficacité ne fait aucun doute.

Clichés instantanés de volumes

L'approche est basée sur Procédure Windows Copie de réserve fichiers, qui est répété à chaque point de récupération. Condition importante travail cette méthode: La restauration du système doit être activée avant que l'infection ne se produise. Cependant, toute modification apportée au fichier après le point de restauration n'apparaîtra pas dans la version restaurée du fichier.

Sauvegarde

C’est la meilleure parmi toutes les méthodes sans rançon. Si la procédure de sauvegarde des données sur un serveur externe a été utilisée avant l'attaque du ransomware sur votre ordinateur, pour restaurer les fichiers cryptés il vous suffit d'entrer dans l'interface appropriée, sélectionnez fichiers nécessaires et démarrez le mécanisme de récupération des données à partir de la sauvegarde. Avant d'effectuer l'opération, vous devez vous assurer que le ransomware est complètement supprimé.

Recherchez d'éventuels composants résiduels du ransomware WannaCry

Nettoyage dans mode manuel se heurte à l'omission de fragments individuels de ransomware qui peuvent éviter leur suppression sous la forme d'objets cachés du système d'exploitation ou d'éléments de registre. Pour éliminer le risque de rétention partielle d'éléments malveillants individuels, analysez votre ordinateur à l'aide d'un logiciel de sécurité fiable. progiciel, spécialisé dans les malwares.

Décodage

Mais il n'y a aucune information de ceux qui ont payé pour le décryptage, tout comme il n'y a aucune information sur l'intention des pirates informatiques de calmer l'âme des gens et de décrypter les informations après le paiement ((((

Mais sur le hub, il y avait des informations sur le principe de fonctionnement du bouton Décrypter, ainsi que sur le fait que les attaquants n'ont aucun moyen d'identifier les utilisateurs qui ont envoyé des bitcoins, ce qui signifie que personne ne restituera rien aux victimes :

« Le cryptor crée deux types de fichiers : premièrement, une partie est cryptée à l'aide d'AES 128 bits, et la clé de déchiffrement générée est ajoutée directement au fichier crypté. Les fichiers cryptés de cette manière reçoivent l'extension .wncyr et ce sont ceux-ci qui sont ensuite décryptés lorsque vous cliquez sur Décrypter. La majeure partie des éléments cryptés obtient l'extension .wncry et la clé n'est plus là.
Dans ce cas, le cryptage n'a pas lieu dans le fichier lui-même, mais un fichier est d'abord créé sur le disque où est placé le contenu crypté, puis fichier original est supprimé. En conséquence, il est possible depuis un certain temps de récupérer une partie des données à l'aide de divers utilitaires de restauration.
Pour lutter contre de tels utilitaires, le cryptor écrit constamment toutes sortes de déchets sur le disque, de sorte que l'espace disque est consommé assez rapidement.
Mais pourquoi il n'y a toujours pas d'informations sur le paiement et les mécanismes permettant de le vérifier est vraiment surprenant. Peut-être que le montant plutôt décent (300 dollars) requis pour un tel chèque a une influence.»

Les créateurs du virus WannaCry ont contourné la protection temporaire sous la forme d'un domaine dénué de sens

Créateurs Virus rançongiciel WannaCry, qui a affecté les ordinateurs dans plus de 70 pays, a publié une nouvelle version. Il manque du code pour accéder à un domaine dénué de sens, qui a été utilisé pour empêcher la propagation du virus d'origine, écrit mère. La publication a reçu la confirmation de l'émergence d'une nouvelle version du virus par deux spécialistes qui ont étudié de nouveaux cas d'infection informatique. L'un d'eux est Costin Raiu, chef de l'équipe de recherche internationale de Kaspersky Lab.

Les experts n'ont pas précisé si d'autres changements étaient apparus dans WannaCry.

​Le 13 mai, Darien Hass, spécialiste de Proofpoint, et l'auteur du blog MalwareTech ont réussi à arrêter la propagation du virus - ils ont découvert que le virus devenait insignifiant. nom de domaine, et a enregistré cette adresse. Après cela, ils ont découvert que la propagation de WannaCry s'était arrêtée. Cependant, les experts ont noté que les créateurs du virus publieraient très probablement bientôt une version mise à jour du programme.

Le 12 avril 2017, des informations sont apparues sur la propagation rapide d'un virus ransomware appelé WannaCry à travers le monde, que l'on peut traduire par « J'ai envie de pleurer ». Les utilisateurs ont des questions sur Windows Update du virus WannaCry.

Le virus sur l'écran de l'ordinateur ressemble à ceci :

Le mauvais virus WannaCry qui crypte tout

Le virus crypte tous les fichiers de l'ordinateur et exige une rançon sur un portefeuille Bitcoin d'un montant de 300 $ ou 600 $ pour soi-disant décrypter l'ordinateur. Des ordinateurs ont été infectés dans 150 pays à travers le monde, la Russie étant le plus touché.

Megafon, les chemins de fer russes, le ministère de l'Intérieur, le ministère de la Santé et d'autres entreprises sont de près confrontés à ce virus. Parmi les victimes figurent utilisateurs ordinaires L'Internet.

Presque tout le monde est égal devant le virus. La différence est peut-être que dans les entreprises, le virus se propage sur tout le réseau local de l'organisation et infecte instantanément le maximum d'ordinateurs possible.

Le virus WannaCry crypte les fichiers sur les ordinateurs utilisant Windows. Microsoft a publié les mises à jour MS17-010 pour différentes versions Windows XP, Vista, 7, 8, 10.

Il s'avère que ceux qui sont déterminés mise à jour automatique Windows ne court aucun risque face au virus car il a reçu la mise à jour en temps opportun et a pu l'éviter. Je ne prétends pas dire que c’est réellement le cas.

Riz. 3. Message lors de l'installation de la mise à jour KB4012212

La mise à jour KB4012212 nécessitait un redémarrage de l'ordinateur portable après l'installation, ce que je n'ai pas vraiment aimé, car on ne sait pas comment cela pourrait se terminer, mais où doit aller l'utilisateur ? Cependant, le redémarrage s'est bien passé. Alors, nous vivons en paix jusqu'au prochain attaque de virus, et que de telles attaques se produiront, hélas, cela ne fait aucun doute.

Certains virus gagnent, d'autres réapparaissent. Cette lutte sera évidemment sans fin.

Vidéo « Je veux pleurer » : le virus ransomware a infecté 75 000 systèmes dans 99 pays

Recevoir articles actuels Par connaissances informatiques directement dans votre boîte de réception.
Déjà plus 3 000 abonnés

.

Premièrement, il est important que Le rançongiciel WannaCry n'existe que pour Windows. Si votre appareil utilise macOS, iOS, Android, Linux ou tout autre système d'exploitation, ce malware ne constitue pas une menace pour lui.

Mais pour les appareils Windows, c'est le cas. Mais pour différentes versions Windows a besoin de différents correctifs. Donc, avant d’installer quoi que ce soit, vous devez déterminer quelle version de Windows vous possédez.

Cela se fait comme ceci :

• Appuyez simultanément sur les touches et [R] de votre clavier.
• Dans la fenêtre qui apparaît, entrez winver et cliquez sur OK.

La fenêtre qui apparaît indiquera la version de Windows.

2. Installez le correctif MS17-010, qui ferme la vulnérabilité Windows

Lorsque vous cliquez sur le lien souhaité, un fichier exécutable avec l'extension MSU sera téléchargé depuis mise à jour nécessaire. Cliquez dessus, puis suivez les instructions de l'assistant d'installation. Une fois l'installation terminée, redémarrez le système au cas où. Terminé - la vulnérabilité est fermée, juste comme ça Ordinateur WannaCry ne passera plus.

3. Vérifiez votre ordinateur pour les virus

Il est possible que WannaCry ait réussi à accéder à votre ordinateur avant que vous ayez supprimé la vulnérabilité. Donc, juste au cas où, vous devriez vérifier la présence de virus sur votre ordinateur.

Si vous ne disposez pas d'un antivirus, téléchargez une version gratuite de Kaspersky Internet Security pendant 30 jours. Si une solution de sécurité Kaspersky Lab est déjà installée, procédez comme suit.

• Assurez-vous que le module Moniteur d'activité est activé. Pour ce faire, accédez aux paramètres, sélectionnez la section Protection et assurez-vous qu'il est indiqué Activé à côté de l'élément Surveillance d'activité.
• Exécutez une analyse rapide de votre ordinateur à la recherche de virus. Pour ce faire, dans l'interface de la solution antivirus, sélectionnez la section Analyse, dans laquelle se trouve l'élément Vérification rapide, puis cliquez sur Exécuter l'analyse.
• Si l'antivirus détecte un malware avec le verdict Trojan.Win64.EquationDrug.gen, il doit être supprimé puis redémarré.

Ça y est, vous êtes protégé de WannaCry. Prenez désormais soin de votre famille et de vos amis qui ne savent pas comment protéger eux-mêmes leurs appareils.

Le virus WannaCry est un programme ransomware qui utilise l'exploit EternalBlue pour infecter les ordinateurs exécutant le système d'exploitation Microsoft Windows. Le ransomware est également connu sous les noms de WannaCrypt0r, WannaCryptor, WCry et Wana Decrypt0r. Une fois qu'il atteint l'ordinateur cible, il crypte rapidement tous les fichiers et les marque avec l'une des extensions suivantes : .wcry, .wncryt Et .wncri.

Le virus rend les données inutiles grâce à un cryptage fort, modifie le fond d'écran du bureau, crée une demande de rançon « Please Read Me!.txt », puis lance une fenêtre de programme appelée « WannaDecrypt0r » qui signale que les fichiers sur l'ordinateur ont été cryptés. Le malware appelle la victime à payer une rançon de 300 à 600 dollars en Bitcoin et promet de supprimer tous les fichiers si la victime ne paie pas l'argent dans les 7 jours.

Le malware supprime clichés instantanés pour empêcher la récupération des données cryptées. De plus, le ransomware agit comme un ver car une fois qu’il atterrit sur l’ordinateur cible, il commence à chercher d’autres ordinateurs à infecter.

Même si le virus promet de restaurer vos fichiers après paiement, il n’y a aucune raison de faire confiance aux criminels. L'équipe du site recommande de supprimer le ransomware dans mode sans échec en utilisant des pilotes réseau, en utilisant des programmes de protection antivirus malware, tel que .

Les cybercriminels ont utilisé ce ransomware lors d'une cyberattaque massive lancée le vendredi 12 mai 2017. Selon derniers messages, l'attaque malveillante a touché avec succès plus de 230 000 ordinateurs dans plus de 150 pays.

L'impact d'une cyberattaque est désastreux car le virus cible des organisations de différents secteurs, le secteur de la santé semble être le plus touché. En raison de l'attaque, divers services hospitaliers ont été suspendus et des centaines d'opérations chirurgicales ont été annulées. Selon les rapports, le premier grandes entreprises Les sociétés concernées par ce rachat étaient Telefonica, Gas Natural et Iberdrola.

Certaines des entreprises concernées disposaient de sauvegardes de données, tandis que d’autres ont dû faire face à des conséquences tragiques. Sans exception, il est conseillé à toutes les victimes de supprimer WannaCry dès que possible, car cela peut aider à empêcher la propagation du ransomware.

WannaCry se propage grâce à l'exploit EternalBlue

Principal vecteur d'infection Le rançongiciel WannaCry est un exploit EternalBlue qui est un cyberlogiciel espion volé à la National Security Agency (NSA) américaine et publié groupe en ligne pirates informatiques connus sous le nom de Shadow Brokers.

L'attaque EternalBlue cible la vulnérabilité Windows CVE-2017-0145 dans le protocole Microsoft SMB (Server Message Block). La vulnérabilité a maintenant été corrigée, selon le bulletin de sécurité Microsoft MS17-010 (publié le 14 mai 2017). Le code d'exploitation utilisé par les exécuteurs était destiné à infecter des systèmes obsolètes. Systèmes Windows 7 et Windows Server 2008, mais apparemment Utilisateurs Windows 10 ne peut pas être affecté par ce virus.

Le malware se présente généralement sous la forme d’un cheval de Troie contenant un ensemble d’exploits et le ransomware lui-même. Le compte-gouttes tente ensuite de se connecter à l'un des serveurs distants pour télécharger le ransomware sur l'ordinateur. Dernières versions WannaCry est distribué viafriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 dans la région APAC. Les ransomwares peuvent affecter toute personne qui n'a pas de connaissances sur la distribution des ransomwares. Nous vous recommandons donc de lire ce guide pour prévenir le ransomware WannaCry préparé par nos experts :

1. Installer mise à jour du système sécurité MS17-010, récemment publié par Microsoft, corrigera la vulnérabilité exploitée par le ransomware. Les mises à jour ont été publiées exclusivement pour les anciens systèmes d'exploitation tels que Windows XP ou Windows 2003.
2. Restez à l'écoute des mises à jour d'autres programmes informatiques.
3. Installez un outil antivirus fiable pour protéger votre ordinateur contre les tentatives illégales d'infecter votre système avec des logiciels malveillants.
4. Ne jamais ouvrir e-mails qui proviennent d'étrangers ou d'entreprises avec lesquelles vous ne faites pas affaire.
5. Désactivez SMBv1 en suivant les instructions fournies par Microsoft.

Le chercheur montre des captures d'écran prises pendant Attaques WannaCry. Vous pouvez voir la fenêtre Wanna Decrypt0r ainsi que l'image définie par WannaCry comme arrière-plan de votre bureau après avoir infecté le système et chiffré tous les fichiers qu'il contient.
Méthode 1. (Mode sans échec)
Sélectionner " Mode sans échec avec réseautage" Méthode 1. (Mode sans échec)
Sélectionnez "Activer le mode sans échec avec réseau"

Sélectionnez "Mode sans échec avec invite de commande" Méthode 2. (Restauration du système)
Sélectionnez "Activer le mode sans échec avec invite de commande"
Méthode 2. (Restauration du système)
Tapez "restauration cd" sans les guillemets et appuyez sur "Entrée"
Méthode 2. (Restauration du système)
Tapez "rstrui.exe" sans les guillemets et appuyez sur "Entrée".
Méthode 2. (Restauration du système)
Dans la fenêtre "Restauration du système" qui apparaît, sélectionnez "Suivant"
Méthode 2. (Restauration du système)
Sélectionnez votre point de restauration et cliquez sur "Suivant"
Méthode 2. (Restauration du système)
Cliquez sur "Oui" et lancez la récupération du système ⇦ ⇨

Glisser 1 depuis 10

Versions de WannaCry

Le virus utilise le chiffrement cryptographique AES-128 pour verrouillage sécurisé fichiers, ajoute l'extension de fichier .wcry à leurs noms et demande de transférer 0,1 bitcoin vers le fichier fourni. portefeuille virtuel. Le malware a été initialement distribué via des courriers indésirables E-mail; Cependant, ce virus particulier n’a pas généré beaucoup de revenus pour ses développeurs. Malgré le fait que les fichiers cryptés par ce ransomware se sont révélés irrécupérables sans clé de décryptage, les développeurs ont décidé de mettre à jour le programme malveillant.

Virus rançongiciel WannaCrypt0r. C'est un autre nom Version mise à jour rançongiciel. Une nouvelle version sélectionne les vulnérabilités de Windows comme principal vecteur d'attaque et crypte tous les fichiers stockés sur le système en quelques secondes. Les fichiers infectés peuvent être reconnus grâce aux extensions ajoutées au nom du fichier immédiatement après nom d'origine fichier - .wncry, wncryt ou .wcry.

Il est impossible de récupérer des données endommagées sans copies de sauvegarde ou une clé privée créée lors du processus de cryptage des données. Le virus exige généralement 300 dollars, mais il augmente le prix de la rançon à 600 dollars si la victime ne paie pas l'argent dans les trois jours.

Virus rançongiciel WannaDecrypt0r. WannaDecrypt0r est un programme que le virus exécute après avoir réussi à infiltrer le système cible. Les chercheurs ont déjà remarqué que les versions de Wanna Decryptor 1.0 et Wanna Decryptor 2.0 s'approchaient des victimes.

Le malware affiche un compte à rebours indiquant combien de temps il reste pour payer la rançon avant que son prix n'atteigne son maximum, ainsi qu'une horloge identique. compte à rebours, indiquant combien de temps il reste jusqu'à ce que le virus supprime toutes les données de l'ordinateur. Cette version a choqué la communauté virtuelle le 12 mai 2017, même si quelques jours plus tard, elle a été stoppée par un chercheur en sécurité du nom de MalwareTech.