Comment supprimer Wana Decrypt0r 2.0

Le monde Internet et les utilisateurs de PC ont été stupéfaits par le nouveau genre un rançongiciel de cryptage de données, baptisé Wana Decrypt0r 2.0, qui a déjà infecté des milliers de postes de travail en très peu de temps. Il a infecté simultanément plus de 99 pays, dont les États-Unis, l’Amérique latine, l’Europe et les pays asiatiques. Wana Decrypt0r 2.0 est connu sous plusieurs noms : WCry, WNCry, WannaCry etc. Une fois installé avec succès, il commence à analyser le poste de travail à la recherche de fichiers et de programmes qu'il peut chiffrer. Il utilise l'algorithme de cryptage RSA et AES pour verrouiller les fichiers et remplace son extension de nom par défaut par .wcry, .wcryt, .wncry ou .wncrrytt. Sa note de saisie correspondante est conservée dans fichier texte, nommé @Veuillez lire [email protégé]. Cette note contient des informations sur les ransomwares et Bitcoin ainsi que l'adresse E-mail afin de payer la rançon. La recherche montre que Wana Decrypt0r 2.0 vous oblige à payer 300 $ en virtuel Monnaie Bitcoin en échange d'une clé de décryptage. Il est fortement recommandé d'analyser immédiatement votre station avec un puissant outil anti-malware pour supprimer complètement tous les fichiers associés et Wana Decrypt0r 2.0 utile. Il est très important que tous ses éléments soient supprimés afin qu’il ne puisse pas crypter d’autres fichiers et données.

Comment Wana Decrypt0r 2.0 est-il distribué ?

Techniquement, Wana Decrypt0r 2.0 est capable d'infecter les PC Windows. Il exploite la vulnérabilité EternalBlue dans Windows 7, 8, 10 et versions Serveur Windows. Fait intéressant, si vous n'avez pas reçu les correctifs Microsoft, index MS17-010, CVE-2017-0146 et CVE-2017-0147 en mars 2017, vous êtes alors très susceptible d'être infecté par ce malware. Comme d’autres ransomwares, on ignore encore s’il utilise des tablettes ou des campagnes de spam en pièces jointes pour le distribuer ou non. Cependant, vous devez être très prudent lorsque vous ouvrez tout type de pièce jointe à un e-mail ou lorsque vous cliquez sur des hyperliens arbitraires pendant la navigation.

Comment décrypter Wana Decrypt0r 2.0

Selon les cybercriminels, ils vous manipulent pour que vous payiez une rançon afin d'obtenir la clé de décryptage requise. Mais les cyber-experts sont tout à fait d’accord pour recommander le paiement de la rançon. Il y a eu de nombreuses situations dans le passé où la clé de déchiffrement originale n'était pas fournie par le vendeur, même après le paiement de l'argent. Donc c'est toujours mieux d'essayer moyens alternatifs comme l'utilisation de fichiers copies de sauvegarde, virtuel clichés instantanés ou même un outil gratuit de récupération de données est disponible sur Internet. Dans le même temps, n'oubliez pas de vérifier le fonctionnement de la station avec un puissant outil anti-malware et de supprimer tous les éléments Wana Decrypt0r 2.0 associés.

Comment Wana Decrypt0r 2.0 entre-t-il sur PC

Ce type d'infection par un logiciel malveillant montre à quel point ce système est vulnérable. informations modernesâge de l'époque. Cela pourrait perturber les performances du PC et, en même temps, nous pourrions perdre nos pertes de plusieurs millions de dollars. Il y a eu plusieurs rapports où un ordinateur est infecté par un logiciel malveillant. des milliers de fenêtres PC en une journée. Ainsi, pour réussir à supprimer Wana Decrypt0r 2.0, il est également important de savoir que ce malware cible le PC infecté et y pénètre facilement.

Généralement, il accède aux composants des fichiers et aux codes depuis de vrais programmes, qui sont souvent proposés sous forme de logiciels gratuits. Ils s'appuient sur le droit programme gratuit et s'installe très silencieusement. Supposons que ce virus soit installé avec un programme Java afin que chaque fois que ce fichier Java est exécuté, cette infection devienne également active et démarre son activité suspecte. Généralement, ils s’auto-répliquent et peuvent se reproduire. De plus, il peut voyager à travers des messages électroniques corrompus, des fichiers peer-to-peer, des hyperliens suspects, etc. Il est capable d'utiliser réseau informatique et des failles de sécurité afin de se répéter et s'installe très silencieusement. Les programmes téléchargés sur Internet, en particulier à partir de sources non fiables, constituent également une source importante attaques informatiques malware.

En quoi Wana Decrypt0r 2.0 peut-il être dangereux ?

Tout type de malware PC est toujours dangereux, et s’il s’agit du calibre de Wana Decrypt0r 2.0, la situation est encore pire. Il peut prendre le contrôle de l'ensemble du navigateur, bloquant l'accès applications importantes et fonctionnalités et utilise en outre les paramètres de sécurité pour introduire de nombreux autres logiciels malveillants dans la porte dérobée. Obtenez automatiquement le contenu des pages Web que vous visitez et mot-clé reçoit du gras et des hyperliens provenant d’URL malveillantes. Vous êtes forcément redirigé vers des sites Web de phishing et dangereux qui contiennent principalement du contenu pornographique.

Comportement de base Wana Décrypter0r 2.0 est d'espionner vos activités en ligne et de mettre votre information confidentielle dans le domaine de la surveillance. Il peut utiliser des plugins de navigateur suspects, des modules complémentaires et même des enregistreurs de frappe et des frappes au clavier afin d'espionner et d'enregistrer les activités des utilisateurs et de divulguer des données hautement sensibles telles que les identifiants, les mots de passe, la géolocalisation et les adresses IP, les coordonnées bancaires, etc. vos paramètres de connexion Internet, votre ordinateur est connecté à un serveur de cybercriminalité et des tiers non autorisés accèdent donc illégalement à votre ordinateur. Il prendra le relais du navigateur par défaut page d'accueil Et système de recherche et affichera les sites Web suspects non pertinents dans les résultats de recherche. La plupart des sites Web figurant dans les résultats de recherche sont des domaines commerciaux qui n'ont absolument aucune valeur pour vous. Requêtes de recherche. Par conséquent, il est important de supprimer Wana Decrypt0r 2.0 dès que ses premiers symptômes sont remarqués.

Instructions de suppression de Wana Decrypt0r 2.0

Planifiez un : débarrassez-vous de Wana Decrypt0r 2.0 avec un processus manuel (recommandé uniquement par les cyber-experts et les meilleurs techniciens)

Plan B : Supprimez Wana Decrypt0r 2.0 du PC Windows à l'aide de l'outil suppression automatique(sûr et facile pour tous les utilisateurs de PC)

Plan A du système d'exploitation Windows : débarrassez-vous manuellement de Wana Decrypt0r 2.0

Avant d'effectuer le processus manuel, certaines choses doivent être confirmées. La première chose est que vous devez avoir des connaissances techniques et une solide expérience dans la suppression manuelle des logiciels malveillants sur PC. Doit avoir une connaissance approfondie des dossiers registre du système et des fichiers. Doit être capable d’annuler des étapes incorrectes et doit être conscient des éventuelles conséquences négatives pouvant découler de votre erreur. Si vous ne maîtrisez pas ces connaissances techniques de base, le projet sera très risqué et devra être évité. Dans un tel cas, il est fortement recommandé d'activer le Plan B, qui est plus léger et vous aidera à détecter et supprimer Wana Décrypter0r 2.0 facilement avec un outil automatique. (Avec SpyHunter et RegHunter)

Étape 1: Supprimer Wana Decrypt0r 2.0 depuis le panneau de commande

Étape 2 : Supprimer Wana Decrypt0r 2.0 des navigateurs

Sur Chrome : Ouvrir Google Chrome>cliquez Menu Chrome> sélectionnez Outils > cliquez sur l'extension > sélectionnez les extensions Wana Decrypt0r 2.0 > corbeille

Sur Firefox : Ouvrez Firefox > allez dans le coin droit pour ouvrir le menu du navigateur > sélectionnez Modules complémentaires > sélectionnez et supprimez les extensions Wana Decrypt0r 2.0

Dans Internet Explorer : Ouvrez IE > cliquez sur Outils > cliquez sur gérer les modules complémentaires, les outils et les extensions > sélectionnez les extensions Wana Décrypter0r 2.0 et ses éléments et supprimez-les.

Étape 3 : Supprimer les fichiers malveillants et les entrées de registre de Wana Decrypt0r 2.0

3. Détectez les entrées de registre créées par Wana Decrypt0r 2.0 et supprimez-les soigneusement une par une

• HKLM\LOGICIEL\Classes\AppID\ .exe
• HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http:// .com"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\nom du virus
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon « Shell » = « %AppData%\ .exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• « Aléatoire » HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

Plan b : Supprimer Wana Decrypt0r 2.0 avec l'utilitaire automatique Wana Decrypt0r 2.0

Étape 1. Analysez l'ordinateur infecté avec SpyHunter pour supprimer Wana Decrypt0r 2.0.

1. Cliquez sur le bouton Télécharger pour télécharger SpyHunter en toute sécurité.

Note : Lors du chargement de SpyHunter sur votre PC, votre navigateur peut afficher un faux avertissement tel que « Ce type de fichier peut endommager votre ordinateur. Voulez-vous quand même conserver Download_Spyhunter-installer.exe ? » N’oubliez pas qu’il s’agit d’un message frauduleux généré par une infection PC. Vous devez simplement ignorer le message et cliquer sur le bouton "Enregistrer".

2. Exécutez SpyHunter-Installer.exe pour installer SpyHunter à l'aide du programme d'installation du logiciel Enigma.

3. Une fois l'installation terminée, SpyHunter analyse votre ordinateur et effectue une recherche approfondie pour détecter et supprimer Wana Decrypt0r 2.0 et ses fichiers associés. Tout malware ou potentiellement programmes indésirables sont automatiquement analysés et détectés.

4. Cliquez sur le bouton « Corriger les menaces » pour supprimer toutes les menaces informatiques détectées par SpyHunter.

Étape 2 : utilisez RegHunter pour maximiser les performances du PC

1. Cliquez pour télécharger RegHunter avec SpyHunter

2. Exécutez RegHunter-Installer.exe pour installer RegHunter via le programme d'installation

Méthodes utilisées par l'outil de suppression automatique Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 est une infection par un malware très avancée, il est donc très difficile pour un logiciel anti-malware de mettre à jour sa détection pour de telles attaques de malware. Mais avec l’outil de suppression automatique de Wana Decrypt0r 2.0, de tels problèmes ne surviennent pas. Ce scanner de logiciels malveillants reçoit des mises à jour régulières pour les dernières définitions de logiciels malveillants et peut ainsi analyser votre ordinateur très rapidement et supprimer tous les types de menaces de logiciels malveillants, notamment Spyware, logiciels malveillants, chevaux de Troie, etc. De nombreuses enquêtes et experts en informatique affirment que meilleur outil suppression de l’infection pour toutes les versions de PC Windows. Cet outil désactivera complètement la connexion entre la cybercriminalité et votre ordinateur. Il dispose d'un algorithme d'analyse très avancé et d'un processus de suppression des logiciels malveillants en trois étapes, de sorte que le processus d'analyse ainsi que la suppression des logiciels malveillants deviennent très rapides.

Bon après-midi

Il est facile de supprimer le virus WannaCrypt (Wana Decrypt0r 2.0) de votre ordinateur, instructions simples ci-dessous conviendra à tout moderne Versions Windows. Mais il n’est pas encore possible de décrypter les fichiers .WNCRY gratuitement. Tous grands fabricants Un logiciel antivirus travaille sur un tel décrypteur, mais il n'y a pas encore eu de progrès significatif dans cette direction.

Si vous supprimez un virus de votre ordinateur, c'est Grande chance que vous ne pourrez jamais décrypter les fichiers cryptés. WannaCrypt (Wana Decrypt0r 2.0) utilise des méthodes de cryptage très efficaces et il y a peu de chances qu'un décrypteur gratuit soit développé.

Vous devez décider si vous êtes prêt ou non à perdre vos fichiers cryptés. Si vous êtes prêt, suivez les instructions ci-dessous ; si vous n’êtes pas prêt, payez une rançon aux créateurs du virus. À l'avenir, assurez-vous de commencer à utiliser n'importe quel système Copie de réserve vos fichiers et documents, ils sont désormais nombreux, payants et gratuits.

1. Fermez le port réseau 445 T :

• Courir ligne de commande cmd en tant qu'administrateur (instructions : ).
• Copiez le texte suivant : Netsh advfirewall firewall add Rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
• Collez-le dans la ligne de commande et appuyez sur la touche Entrée, le système devrait répondre par « OK ».

3. Configurez l'affichage des informations masquées et dossiers système , pour ça:

• Appuyez simultanément sur les touches Win R ;
• Tapez « control.exe » dans la fenêtre et appuyez sur Entrée ;
• Dans la barre de recherche du Panneau de configuration (en haut à droite), écrivez « Options de l'explorateur » ;
• Cliquez sur le raccourci « Options de l'explorateur » dans la fenêtre principale ;
• Dans la nouvelle fenêtre, allez dans l'onglet « Affichage » ;
• Recherchez « Fichiers et dossiers cachés » et sélectionnez « Afficher fichiers cachés, dossiers et lecteurs" ;
• Cliquez sur « Appliquer » puis « OK ».

4. Ouvrez l'Explorateur, accédez aux dossiers suivants :

• %Données de programme%
• %DONNÉES D'APPLICATION%
• %TEMP%

(copiez simplement chaque nom de dossier dans la barre d'adresse de l'Explorateur).

Dans chacun des dossiers spécifiés, examinez attentivement tous les sous-dossiers et fichiers. Supprimez tout ce qui contient une mention du virus WannaCrypt (Wana Decrypt0r 2.0) dans son nom.

Recherchez les entrées de registre suspectes dans les dossiers suivants :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

6. Redémarrez votre ordinateur.

Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?

Après avoir installé les mises à jour, vous devrez redémarrer votre ordinateur.

Comment se remettre du virus ransomware Wana Decrypt0r ?

Quand utilitaire antivirus, détecte un virus, soit elle le supprimera immédiatement, soit vous demandera si vous devez le traiter ou non ? La réponse est de traiter.

Comment récupérer des fichiers cryptés par Wana Decryptor ?

Rien de réconfortant ce moment Nous ne pouvons pas le dire. Aucun outil de décryptage de fichiers n'a encore été créé. Pour l’instant, il ne reste plus qu’à attendre que le décrypteur soit développé.

Selon Brian Krebs, un expert en sécurité informatique, à l'heure actuelle, les criminels n'ont reçu que 26 000 dollars, c'est-à-dire que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.

Comment stopper la propagation d’un virus en ligne ?

Dans le cas de WannaCry, la solution au problème peut être de bloquer le port 445 sur le Firewall ( pare-feu), par lequel se produit l’infection.

Récemment, le 360 ​​​​Internet Security Center a découvert un nouveau type de virus ransomware ciblant à la fois les entreprises et les particuliers dans de nombreux pays et régions. 360 a émis un avertissement d'urgence en temps opportun le 12 mai suite à la découverte pour rappeler aux utilisateurs les risques à venir. Ce ransomware se propage à grande vitesse à travers le monde. Selon des statistiques incomplètes, des dizaines de milliers d'appareils dans 99 pays ont été infectés quelques heures seulement après l'explosion, et ce ver de réseau tente toujours d'étendre son influence.

Généralement, un virus ransomware est malware avec l'intention évidente d'extorsion. Il crypte les fichiers de la victime à l'aide d'un algorithme cryptographique asymétrique, les rend inaccessibles et exige une rançon pour les décrypter. Si la rançon n'est pas payée, les fichiers ne pourront pas être récupérés. Cette nouvelle espèce porte le nom de code WanaCrypt0r. Ce qui le rend si mortel, c'est qu'il a utilisé l'outil de piratage "EternalBLue" qui a été volé à la NSA. Cela explique également pourquoi WanaCrypt0r a pu se propager rapidement à travers le monde et causer d'importantes pertes en très peu de temps. Après la percée du ver réseau le 12 mai, le département Core Security du 360 ​​Internet Security Center a effectué une surveillance approfondie et une analyse approfondie. Nous pouvons désormais proposer une suite de solutions de détection, de protection et de récupération de données contre WanaCrypt0r.

360 Helios Team est une équipe de recherche et d'analyse APT (Advanced Persistent Attack) au sein du département Core Security, principalement dédiée aux enquêtes sur les attaques APT et à la réponse aux incidents de menace. Les chercheurs en sécurité ont soigneusement analysé le mécanisme des virus pour trouver la méthode la plus efficace et la plus précise pour récupérer des fichiers cryptés. Grâce à cette méthode, 360 peut devenir le premier fournisseur de sécurité à proposer un outil de récupération de données : « 360 Ransomware Infected File Recovery » pour aider ses clients à récupérer rapidement et complètement les fichiers infectés. Nous espérons que cet article vous aidera à comprendre les astuces de ce ver, ainsi que la discussion plus large sur la récupération de fichiers cryptés.

Chapitre 2 Analyse des processus de chiffrement de base

Ce ver expose le module de chiffrement en mémoire et charge directement la DLL en mémoire. La DLL exporte ensuite une fonction TaskStart qui doit être utilisée pour activer l'ensemble du processus de cryptage. La DLL accède dynamiquement système de fichiers et des fonctions API liées au chiffrement pour éviter la détection statique.

1.Étape initiale

Il utilise d'abord "SHGetFolderPathW" pour obtenir les chemins du bureau et des dossiers de fichiers. Il appellera ensuite la fonction "10004A40" pour obtenir le chemin d'accès aux bureaux et dossiers de fichiers des autres utilisateurs et appellera la fonction EncrytFolder pour chiffrer les dossiers individuellement.

Il parcourt tous les lecteurs deux fois, du pilote Z au pilote C. La première analyse consiste à exécuter tous les lecteurs. disques locaux(sauf CD-pilote). La deuxième analyse vérifie tous les périphériques de stockage mobiles et appelle la fonction EncrytFolder pour crypter les fichiers.

2. Traversée de fichiers

La fonction « EncryptFolder » est une fonction récursive qui permet de collecter des informations sur les fichiers en suivant la procédure ci-dessous :

Supprimez les chemins de fichiers ou les dossiers pendant le processus croisé :

Manger dossier intéressant avec le titre « Ce dossier protège contre le virus ransomware. Le changer réduira la protection. Lorsque vous faites cela, vous constaterez que cela correspond au dossier de protection du logiciel anti-ransomware.

Lors de l'exploration des fichiers, le ransomware collecte des informations sur les fichiers telles que la taille des fichiers, puis classe les fichiers en différents types conformément à leur prolongation, en suivant certaines règles :

Liste des types d'extension 1 :

Liste des types d'extensions 2 :

3. Priorité de cryptage

Pour chiffrer fichiers importants le plus rapidement possible, WanaCrypt0r a développé une file d'attente prioritaire complexe :

File d'attente de priorité:

I.Crypter les fichiers de type 2 qui correspondent également à la liste d'extensions 1. Si le fichier est inférieur à 0X400, la priorité de cryptage sera réduite.
II. Cryptez les fichiers de type 3 qui correspondent également à la liste d'extensions 2. Si le fichier est inférieur à 0X400, la priorité de cryptage sera réduite.
III. Cryptez les fichiers restants (moins de 0x400) et les autres fichiers.

4.Logique de cryptage

L'ensemble du processus de cryptage est effectué à l'aide de RSA et d'AES. Bien que le processus de cryptage RSA utilise Microsoft CryptAPI, le code AES est compilé de manière statique dans une DLL. Le processus de cryptage est illustré dans la figure ci-dessous :

Liste des clés utilisées :

Format de fichier après cryptage :

Veuillez noter que pendant le processus de cryptage, le ransomware sélectionnera au hasard certains fichiers à crypter à l'aide du système intégré. Clé publique RSA va proposer plusieurs fichiers que les victimes peuvent décrypter gratuitement.

Le chemin d'accès aux fichiers gratuits se trouve dans le fichier "f.wnry".

5.Remplir des nombres aléatoires

Après le cryptage, WanaCrypt0r remplira les fichiers qu'il juge importants avec nombres aléatoires jusqu'à ce qu'il détruise complètement le fichier, puis déplacez les fichiers vers un répertoire de fichiers temporaire pour les supprimer. En procédant ainsi, il est très difficile pour les outils de récupération de fichiers de récupérer des fichiers, tout en accélérant le processus de cryptage.

Les dossiers complétés doivent répondre aux exigences suivantes :

— Dans le répertoire spécifié (bureau, mon document, dossier utilisateur)

— Le fichier fait moins de 200 Mo

— L'extension du fichier est dans la liste des types d'extension 1

Logique de remplissage des fichiers :

- Si le fichier est inférieur à 0x400, il sera recouvert de nombres aléatoires de même longueur

- Si le fichier est supérieur à 0x400, le dernier 0x400 sera couvert de nombres aléatoires

- Déplacez le pointeur du fichier vers l'en-tête du fichier et définissez 0x40000 comme bloc de données pour couvrir le fichier avec des nombres aléatoires jusqu'à la fin.

6.Suppression de fichiers

WanaCrypt0r déplacera d'abord les fichiers vers un dossier temporaire pour créer un fichier temporaire, puis le supprimera de différentes manières.

Lorsqu'il parcourt les lecteurs pour chiffrer les fichiers, il créera un fichier temporaire nommé au format "$RECYCLE + incrémentation automatique + .WNCYRT" (par exemple : "D:\$RECYCLE\1.WNCRYT") sur le lecteur actuel . Surtout si le lecteur actuel est un lecteur système (tel que Driver-C), il utilisera le répertoire temporaire du système.

Par la suite, le processus exécute taskdl.exe et supprime les fichiers temporaires à un intervalle de temps fixe.

Chapitre 3 Possibilité de récupération de données

En analysant sa logique d'exécution, nous avons remarqué que ce ver écrase les fichiers répondant aux exigences spécifiées avec des nombres aléatoires ou 0x55 afin de détruire structures de fichiers et empêcher leur rétablissement. Mais cette opération n'est acceptée que pour certains fichiers ou des fichiers avec une extension spécifique. Cela signifie qu'il existe encore de nombreux fichiers qui n'ont pas été écrasés, ce qui laisse de la place à la récupération de fichiers.

Pendant le processus de suppression, le ver s'est déplacé fichiers source dans un dossier de fichiers temporaires en appelant la fonction MoveFileEx. Finalement, les fichiers temporaires sont supprimés en masse. Au cours du processus ci-dessus, les fichiers sources peuvent être modifiés, mais le fichier actuel logiciel La récupération de données sur le marché n'en est pas consciente, c'est pourquoi un certain nombre de fichiers ne peuvent pas être récupérés avec succès. La nécessité de récupérer les fichiers des victimes est presque impossible à réaliser.

Pour les autres fichiers, le ver a simplement exécuté la commande « déplacer et supprimer ». Étant donné que les processus de suppression et de déplacement de fichiers sont distincts, les deux threads entreront en concurrence, ce qui peut entraîner l'échec du déplacement de fichiers en raison des différences dans l'environnement système de l'utilisateur. En conséquence, le fichier sera supprimé directement dans localisation actuelle. Dans ce cas, il existe une forte probabilité que le fichier puisse être récupéré.

https://360totalsecurity.com/s/ransomrecovery/

Grâce à nos méthodes de récupération, un grand pourcentage de fichiers cryptés peut être parfaitement récupéré. Maintenant Version mise à jour 360 File Recovery Tool a été développé en réponse à ce besoin d'aider des dizaines de milliers de victimes à atténuer les pertes et les conséquences.

Le 14 mai, 360 est le premier fournisseur de sécurité à publier un outil de récupération de fichiers qui a sauvegardé de nombreux fichiers contre un ransomware. Ce une nouvelle version a franchi une nouvelle étape dans l'exploitation des vulnérabilités logiques de WanaCrypt0r. Il peut supprimer le virus pour prévenir une nouvelle infection. À l’aide de plusieurs algorithmes, il peut trouver des connexions cachées entre les fichiers récupérables gratuitement et les fichiers décryptés pour les clients. Ce service de récupération tout-en-un peut réduire les dommages causés par une attaque de ransomware et protéger la sécurité des données des utilisateurs.

Chapitre 4 Conclusion

Épidémie massive et propagation des vers WannaCry grâce à l'utilisation du MS17-010, ce qui le rend capable d'auto-réplication et de propagation active, en plus des fonctions d'un ransomware général. Outre la charge utile de l'attaque, la structure technique du ransomware joue le rôle le plus important dans les attaques : le ransomware crypte la clé AES à l'aide de l'algorithme cryptographique asymétrique RSA-2048. Chaque fichier est ensuite crypté à l'aide d'un algorithme AES-128 aléatoire cryptage symétrique. Cela signifie que, sur la base des calculs et méthodes existants, il est presque impossible de déchiffrer RSA-2048 et AES-128 sans clé publique ou privée. Cependant, les auteurs laissent quelques erreurs dans le processus de cryptage, ce qui garantit et augmente les possibilités de récupération. Si les actions sont effectuées assez rapidement, la plupart des données peuvent être sauvegardées.

De plus, étant donné que l’argent de la rançon est payé en Bitcoins anonymes, dont n’importe qui peut obtenir l’adresse sans véritable certification, il est impossible d’identifier l’attaquant sur plusieurs adresses, et encore moins entre différents comptes du même propriétaire d’adresse. Par conséquent, en raison de l’adoption d’un algorithme de cryptage incassable et de Bitcoins anonymes, il est fort probable que ce type d’épidémie de ransomware rentable se poursuive pendant longtemps. Tout le monde doit être prudent.

Équipe 360 ​​Hélios

360 Helios Team est une équipe de recherche APT (Advanced Persistent Attack) dans Qihoo 360.

L'équipe se consacre à enquêter sur les attaques APT, à répondre aux incidents de menace et à étudier les chaînes industrielles de l'économie souterraine.

Depuis sa création en décembre 2014, l'équipe a intégré avec succès énorme base de données 360 données et créé une procédure rapide d'inversion et de corrélation. À ce jour, plus de 30 APT et groupes de l’économie souterraine ont été identifiés et identifiés.

360 Helios fournit également des solutions d'évaluation et de réponse aux menaces pour les entreprises.

Rapports publics

Contact
E-mail Mail: [email protégé]
Groupe WeChat : Équipe 360 ​​Helios
Veuillez télécharger le code QR ci-dessous pour nous suivre sur WeChat !

Décrypteur WannaCry ( ou WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), est déjà appelé le « virus de 2017 ». Et pas du tout sans raison. Dans les 24 heures suivant le début de sa propagation, ce ransomware a infecté plus de 45 000 ordinateurs. Certains chercheurs estiment qu'à l'heure actuelle (15 mai), plus d'un million d'ordinateurs et de serveurs ont déjà été infectés. Rappelons que le virus a commencé à se propager le 12 mai. Les premiers concernés ont été les utilisateurs de Russie, d'Ukraine, d'Inde et de Taiwan. Actuellement, le virus se propage à grande vitesse en Europe, aux États-Unis et en Chine.

Les informations étaient cryptées sur les ordinateurs et les serveurs des agences gouvernementales (en particulier du ministère russe de l'Intérieur), des hôpitaux, des sociétés transnationales, des universités et des écoles.

Wana Décrypteur ( Vouloir pleurer ou Wana Decrypt0r) a paralysé le travail de centaines d'entreprises et d'agences gouvernementales à travers le monde

Essentiellement, WinCry (WannaCry) est un exploit de la famille EternalBlue, qui utilise une vulnérabilité assez ancienne du système d'exploitation Systèmes Windows(Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10) et démarre automatiquement le système en mode « silencieux ». Puis, à l'aide d'algorithmes résistant au décryptage, il crypte les données des utilisateurs (documents, photos, vidéos, feuilles de calcul, base de données) et demande une rançon pour décrypter les données. Le schéma n'est pas nouveau, nous écrivons constamment sur de nouveaux types de chiffreurs de fichiers - mais la méthode de distribution est nouvelle. Et cela a conduit à une épidémie.

Symptômes:

Après une installation réussie sur le PC de l'utilisateur, WannaCry tente de se propager réseau local sur d'autres PC comme un ver. Les fichiers cryptés reçoivent l'extension système .WCRY et deviennent complètement illisibles et il n'est pas possible de les déchiffrer vous-même. Après le cryptage complet, Wcry modifie le fond d'écran du bureau et laisse des « instructions » pour décrypter les fichiers dans les dossiers contenant des données cryptées.

Dans un premier temps, les pirates ont extorqué 300 dollars pour des clés de décryptage, mais ont ensuite porté ce chiffre à 600 dollars.

Comment empêcher votre PC d’être infecté par le ransomware WannaCry Decryptor ?

Télécharger la mise à jour système opérateur sur le site Web de Microsoft.

Que faire si votre PC est infecté ?

Utilisez les instructions ci-dessous pour essayer de récupérer au moins certaines informations sur le PC infecté. Mettez à jour votre antivirus et installez le correctif du système d'exploitation. Un décrypteur pour ce virus n’existe pas encore dans la nature. Nous déconseillons fortement de payer une rançon aux attaquants - il n'y a aucune garantie, pas même la moindre, qu'ils déchiffreront vos données après avoir reçu la rançon.

Supprimez le ransomware WannaCry à l'aide d'un nettoyeur automatique

Exclusivement méthode efficace travailler avec des logiciels malveillants en général et des ransomwares en particulier. L'utilisation d'un complexe protecteur éprouvé garantit une détection approfondie de tout composants viraux, leur suppression complète en un seul clic. Veuillez noter que nous parlons de deux processus différents : la désinstallation de l'infection et la restauration des fichiers sur votre PC. Toutefois, la menace doit certainement être supprimée, car il existe des informations sur l'introduction d'autres chevaux de Troie informatiques qui l'utilisent.

1. . Après avoir démarré le logiciel, cliquez sur le bouton Démarrer l'analyse de l'ordinateur(Lancez la numérisation). .
2. Le logiciel installé fournira un rapport sur les menaces détectées lors de l'analyse. Pour supprimer toutes les menaces détectées, sélectionnez l'option Corriger les menaces(Éliminer les menaces). Le malware en question sera complètement supprimé.

Restaurer l'accès aux fichiers cryptés

Comme indiqué, le ransomware no_more_ransom verrouille les fichiers à l'aide d'un algorithme de cryptage puissant afin que les données cryptées ne puissent pas être restaurées d'un simple glissement. baguette magique- si vous ne tenez pas compte du paiement d'un montant de rançon inédit. Mais certaines méthodes peuvent vraiment vous sauver la vie et vous aider à récupérer des données importantes. Ci-dessous, vous pouvez vous familiariser avec eux.

Programme récupération automatique fichiers (déchiffreur)

Une circonstance très inhabituelle est connue. Cette infection efface les fichiers originaux sous forme non cryptée. Le processus de chiffrement à des fins d’extorsion cible ainsi leurs copies. Cela donne l'occasion à de tels logiciel comment restaurer les objets effacés, même si la fiabilité de leur suppression est garantie. Il est fortement recommandé de recourir à la procédure de récupération de fichiers ; son efficacité ne fait aucun doute.

Clichés instantanés de volumes

L'approche est basée sur Procédure Windows sauvegarde de fichiers, qui est répétée à chaque point de récupération. Condition importante travail cette méthode: La fonction « Restauration du système » doit être activée avant l’infection. Cependant, toute modification apportée au fichier après le point de restauration n'apparaîtra pas dans la version restaurée du fichier.

Sauvegarde

C’est la meilleure parmi toutes les méthodes sans rançon. Si la procédure de sauvegarde des données sur un serveur externe a été utilisée avant l'attaque du ransomware sur votre ordinateur, pour restaurer les fichiers cryptés il vous suffit d'entrer dans l'interface appropriée, sélectionnez fichiers nécessaires et démarrez le mécanisme de récupération des données à partir de la sauvegarde. Avant d'effectuer l'opération, vous devez vous assurer que le ransomware est complètement supprimé.

Recherchez d'éventuels composants résiduels du ransomware WannaCry

Nettoyage dans mode manuel se heurte à l'omission de fragments individuels de ransomware qui peuvent éviter leur suppression sous la forme d'objets cachés du système d'exploitation ou d'éléments de registre. Pour éliminer le risque de rétention partielle d'éléments malveillants individuels, analysez votre ordinateur à l'aide d'un logiciel de sécurité fiable spécialisé dans les logiciels malveillants.