Vouloir pleurer programme spécial, qui verrouille toutes les données du système et laisse à l'utilisateur seulement deux fichiers : des instructions sur la marche à suivre et le programme Wanna Decryptor lui-même - un outil pour déverrouiller les données.
La plupart des entreprises impliquées dans sécurité informatique, disposez d’outils de décryptage de rançon qui peuvent contourner le logiciel. Pour le commun des mortels, la méthode de « traitement » est encore inconnue.
Décrypteur WannaCry ( ou WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), est déjà appelé le « virus de 2017 ». Et pas du tout sans raison. Dans les 24 heures suivant le début de sa propagation, ce ransomware a infecté plus de 45 000 ordinateurs. Certains chercheurs pensent que ce moment(15 mai) plus d'un million d'ordinateurs et de serveurs ont déjà été infectés. Rappelons que le virus a commencé à se propager le 12 mai. Les premiers concernés ont été les utilisateurs de Russie, d'Ukraine, d'Inde et de Taiwan. Actuellement, le virus se propage à grande vitesse en Europe, aux États-Unis et en Chine.
Les informations étaient cryptées sur les ordinateurs et les serveurs des agences gouvernementales (en particulier du ministère russe de l'Intérieur), des hôpitaux, des sociétés transnationales, des universités et des écoles.
Wana Décrypteur ( Vouloir pleurer ou Wana Decrypt0r) a paralysé le travail de centaines d'entreprises et d'agences gouvernementales à travers le monde
WinCry (WannaCry) est essentiellement un exploit de la famille EternalBlue, qui utilise une vulnérabilité assez ancienne du système d'exploitation Windows (Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10) et se charge silencieusement dans le système. Puis, à l'aide d'algorithmes résistant au décryptage, il crypte les données des utilisateurs (documents, photos, vidéos, feuilles de calcul, base de données) et demande une rançon pour décrypter les données. Le schéma n'est pas nouveau, nous écrivons constamment sur de nouveaux types de chiffreurs de fichiers - mais la méthode de distribution est nouvelle. Et cela a conduit à une épidémie.
Comment fonctionne le virus
Le malware analyse Internet à la recherche d'hôtes à la recherche d'ordinateurs dotés du port TCP 445 ouvert, responsable de la maintenance du protocole SMBv1. Après avoir détecté un tel ordinateur, le programme tente à plusieurs reprises d'exploiter la vulnérabilité EternalBlue et, en cas de succès, installe la porte dérobée DoublePulsar, à travers laquelle le code exécutable du programme WannaCry est téléchargé et lancé. Chaque fois que vous essayez d'utiliser malware vérifie la présence de DoublePulsar sur l'ordinateur cible et, s'il est détecté, télécharge directement via cette porte dérobée.
À propos, ces chemins ne sont pas suivis par les véhicules modernes programmes antivirus, ce qui a rendu l’infection si répandue. Et c’est un énorme pavé dans le jardin des développeurs de logiciels antivirus. Comment cela a-t-il pu permettre que cela se produise ? Pourquoi prends-tu de l'argent ?
Une fois lancé, le malware agit comme un ransomware classique : il génère une paire de clés asymétriques RSA-2048 unique pour chaque ordinateur infecté. Ensuite, WannaCry commence à analyser le système à la recherche de certains types de fichiers utilisateur, laissant intacts ceux qui sont essentiels à son fonctionnement ultérieur. Chaque fichier sélectionné est crypté à l'aide de l'algorithme AES-128-CBC avec une clé unique (aléatoire) pour chacun d'eux, qui à son tour est cryptée avec la clé publique RSA du système infecté et est stockée dans l'en-tête du fichier crypté. Dans ce cas, l'extension est ajoutée à chaque fichier crypté .wncry. La paire de clés RSA du système infecté est cryptée Clé publique attaquants et leur est envoyé sur des serveurs de contrôle situés dans Réseaux Tor, après quoi toutes les clés sont supprimées de la mémoire de la machine infectée. Une fois le processus de cryptage terminé, le programme affiche une fenêtre vous demandant de transférer une certaine quantité de Bitcoin (équivalent à 300 $) vers le portefeuille spécifié dans les trois jours. Si la rançon n’est pas reçue à temps, son montant sera automatiquement doublé. Le septième jour, si WannaCry n'est pas supprimé du système infecté, les fichiers cryptés sont détruits. Le message s'affiche dans la langue correspondant à celle installée sur l'ordinateur. Au total, le programme prend en charge 28 langues. Parallèlement au cryptage, le programme analyse les adresses Internet arbitraires et réseau local pour l’infection ultérieure de nouveaux ordinateurs.
Selon une étude de Symantec, l'algorithme des attaquants pour suivre les paiements individuels à chaque victime et leur envoyer la clé de déchiffrement est mis en œuvre avec une erreur de condition de concurrence. Cela rend les paiements de rançon inutiles, car les clés individuelles ne seront en aucun cas envoyées et les fichiers resteront cryptés. Cependant, il y a méthode fiable décrypter les fichiers utilisateur de moins de 200 Mo, ainsi que certaines chances de récupérer des fichiers plus grande taille. De plus, sur les anciens Windows XP et Serveur Windows 2003, en raison des particularités de la mise en œuvre de l'algorithme de calcul des nombres pseudo-aléatoires dans le système, il est même possible de récupérer les clés RSA privées et de décrypter tous les fichiers concernés si l'ordinateur n'a pas été redémarré depuis le moment de l'infection. Plus tard, un groupe d'experts français en cybersécurité de Comae Technologies a étendu cette fonctionnalité à Windows 7 et l'a mise en pratique en la publiant dans accès libre utilitaire WanaKiwi, qui vous permet de décrypter des fichiers sans rançon.
Dans du code versions précédentes Le programme était doté d'un mécanisme d'autodestruction, appelé Kill Switch - le programme vérifiait la disponibilité de deux domaines Internet spécifiques et, s'ils étaient présents, était complètement supprimé de l'ordinateur. Cela a été découvert pour la première fois par Marcus Hutchins le 12 mai 2017. (Anglais) russe , un analyste de virus de 22 ans pour la société britannique Kryptos Logic, qui écrit sur Twitter sous le pseudo @MalwareTechBlog et a enregistré l'un des domaines à son nom. Ainsi, il a pu bloquer temporairement et partiellement la propagation de cette modification du programme malveillant. Le 14 mai, le deuxième domaine a été enregistré. Dans les versions ultérieures du virus, ce mécanisme d'auto-désactivation a été supprimé, mais cela n'a pas été fait dans la version d'origine. code de programme, et en éditant le fichier exécutable, ce qui permet de supposer l'origine ce correctif non pas des auteurs du WannaCry original, mais d'attaquants tiers. En conséquence, le mécanisme de cryptage a été endommagé et cette version du ver ne peut se propager qu'en trouvant des ordinateurs vulnérables, mais n'est pas capable de leur causer des dommages directs.
Le taux de propagation élevé de WannaCry, unique pour les ransomwares, est assuré par l'utilisation d'une vulnérabilité publiée en février 2017 protocole réseau Salle d'opération PME Systèmes Microsoft Windows, comme décrit dans le bulletin MS17-010. Si dans le schéma classique le programme ransomware s'est introduit dans l'ordinateur grâce aux actions de l'utilisateur lui-même via e-mail ou un lien Web, alors dans le cas de WannaCry, la participation des utilisateurs est totalement exclue. Durée entre les détections ordinateur vulnérable et son infection complète dure environ 3 minutes.
La société de développement a confirmé la présence d'une vulnérabilité dans absolument tous les produits utilisateur et serveur qui implémentent le protocole SMBv1 - depuis Windows XP/Windows Server 2003 jusqu'à Windows 10/Windows Server 2016. Le 14 mars 2017, Microsoft a publié une série de mises à jour conçues pour neutraliser la vulnérabilité de tous les systèmes d'exploitation pris en charge. Suite à la diffusion de WannaCry, la société a pris une mesure sans précédent en publiant également des mises à jour pour les produits en fin de support (Windows XP, Windows Server 2003 et Windows 8) le 13 mai.
Propagation du virus WannaCry
Le virus peut se propager de différentes manières :
- Via un seul réseau informatique ;
- Par mail;
- Via navigateur.
Personnellement, je ne comprends pas très bien pourquoi connexion réseau non analysé par un antivirus. La même méthode d'infection que la visite d'un site Web ou d'un navigateur prouve l'impuissance des développeurs et que les fonds demandés pour des logiciels sous licence destinés à protéger un PC ne sont en aucun cas justifiés.
Symptômes d'infection et traitement du virus
Après une installation réussie sur le PC de l'utilisateur, WannaCry tente de se propager à travers le réseau local vers d'autres PC comme un ver. Les fichiers cryptés reçoivent l'extension système .WCRY et deviennent complètement illisibles et il n'est pas possible de les déchiffrer vous-même. Après le cryptage complet, Wcry modifie le fond d'écran du bureau et laisse des « instructions » pour décrypter les fichiers dans les dossiers contenant les données cryptées.
Dans un premier temps, les pirates ont extorqué 300 dollars pour des clés de décryptage, mais ont ensuite porté ce chiffre à 600 dollars.
Comment empêcher votre PC d’être infecté par le ransomware WannaCry Decryptor ?
Téléchargez la mise à jour du système d'exploitation sur le site Web de Microsoft.
Ce qu'il faut faire Votre PC est infecté ?
Utilisez les instructions ci-dessous pour essayer de récupérer au moins certaines informations sur le PC infecté. Mettez à jour votre antivirus et installez le correctif du système d'exploitation. Un décrypteur pour ce virus n’existe pas encore dans la nature. Nous déconseillons fortement de payer une rançon aux attaquants - il n'y a aucune garantie, pas même la moindre, qu'ils déchiffreront vos données après avoir reçu la rançon.
Supprimez le ransomware WannaCry à l'aide d'un nettoyeur automatique
Une méthode extrêmement efficace pour lutter contre les malwares en général et les ransomwares en particulier. L'utilisation d'un complexe protecteur éprouvé garantit une détection approfondie de tout composants viraux, leur suppression complète en un seul clic. Veuillez noter que nous parlons de deux processus différents : la désinstallation de l'infection et la restauration des fichiers sur votre PC. Toutefois, la menace doit certainement être supprimée, car il existe des informations sur l'introduction d'autres chevaux de Troie informatiques qui l'utilisent.
- Téléchargez le programme de suppression du virus WannaCry. Après avoir démarré le logiciel, cliquez sur le bouton Démarrer l'analyse de l'ordinateur(Lancez la numérisation). Téléchargez le programme de suppression du ransomware Vouloir pleurer .
- Le logiciel installé fournira un rapport sur les menaces détectées lors de l'analyse. Pour supprimer toutes les menaces détectées, sélectionnez l'option Corriger les menaces(Éliminer les menaces). Le malware en question sera complètement supprimé.
Restaurer l'accès aux fichiers cryptés
Comme indiqué, le ransomware no_more_ransom verrouille les fichiers à l'aide d'un algorithme de cryptage puissant afin que les données cryptées ne puissent pas être restaurées d'un simple glissement. baguette magique- si vous ne tenez pas compte du paiement d'un montant de rançon inédit. Mais certaines méthodes peuvent vraiment vous sauver la vie et vous aider à récupérer des données importantes. Ci-dessous, vous pouvez vous familiariser avec eux.
Programme récupération automatique fichiers (décrypteur)
Une circonstance très inhabituelle est connue. Cette infection efface les fichiers originaux sous forme non cryptée. Le processus de chiffrement à des fins d’extorsion cible ainsi leurs copies. Cela donne l'occasion à de tels logiciel Comment Récupération de données Pro restaurer les objets effacés, même si la fiabilité de leur suppression est garantie. Il est fortement recommandé de recourir à la procédure de récupération de fichiers ; son efficacité ne fait aucun doute.
Clichés instantanés de volumes
L'approche est basée sur Procédure Windows Copie de réserve fichiers, qui est répété à chaque point de récupération. Condition importante travail cette méthode: La restauration du système doit être activée avant que l'infection ne se produise. Cependant, toute modification apportée au fichier après le point de restauration n'apparaîtra pas dans la version restaurée du fichier.
Sauvegarde
C’est la meilleure parmi toutes les méthodes sans rançon. Si la procédure de sauvegarde des données sur un serveur externe a été utilisée avant l'attaque du ransomware sur votre ordinateur, pour restaurer les fichiers cryptés il vous suffit d'entrer dans l'interface appropriée, sélectionnez fichiers nécessaires et démarrez le mécanisme de récupération des données à partir de la sauvegarde. Avant d'effectuer l'opération, vous devez vous assurer que le ransomware est complètement supprimé.
Recherchez d'éventuels composants résiduels du ransomware WannaCry
Nettoyage dans mode manuel se heurte à l'omission de fragments individuels de ransomware qui peuvent éviter leur suppression sous la forme d'objets cachés du système d'exploitation ou d'éléments de registre. Pour éliminer le risque de rétention partielle d'éléments malveillants individuels, analysez votre ordinateur à l'aide d'un logiciel de sécurité fiable spécialisé dans les logiciels malveillants.
Décodage
Mais il n'y a aucune information de ceux qui ont payé pour le décryptage, tout comme il n'y a aucune information sur l'intention des pirates informatiques de calmer l'âme des gens et de décrypter les informations après le paiement ((((
Mais sur le hub, il y avait des informations sur le principe de fonctionnement du bouton Décrypter, ainsi que sur le fait que les attaquants n'ont aucun moyen d'identifier les utilisateurs qui ont envoyé des bitcoins, ce qui signifie que personne ne restituera rien aux victimes :
« Le cryptor crée deux types de fichiers : premièrement, une partie est cryptée à l'aide d'AES 128 bits, et la clé de déchiffrement générée est ajoutée directement au fichier crypté. Les fichiers cryptés de cette manière reçoivent l'extension .wncyr et ce sont ceux-ci qui sont ensuite décryptés lorsque vous cliquez sur Décrypter. La majeure partie des éléments cryptés obtient l'extension .wncry et la clé n'est plus là.
Dans ce cas, le cryptage n'a pas lieu dans le fichier lui-même, mais un fichier est d'abord créé sur le disque où est placé le contenu crypté, puis le fichier original est supprimé. En conséquence, il est possible depuis un certain temps de récupérer une partie des données à l'aide de divers utilitaires de restauration.
Pour lutter contre de tels utilitaires, le cryptor écrit constamment toutes sortes de déchets sur le disque, de sorte que l'espace disque est consommé assez rapidement.
Mais pourquoi il n'y a toujours pas d'informations sur le paiement et les mécanismes permettant de le vérifier est vraiment surprenant. Peut-être que le montant plutôt décent (300 dollars) requis pour un tel chèque a une influence.»
Les créateurs du virus WannaCry ont contourné la protection temporaire sous la forme d'un domaine dénué de sens
Créateurs Virus rançongiciel WannaCry, qui a affecté les ordinateurs dans plus de 70 pays, a publié une nouvelle version. Il manque du code pour accéder à un domaine dénué de sens, qui a été utilisé pour empêcher la propagation du virus d'origine, écrit mère. La publication a reçu la confirmation de la comparution nouvelle version virus de deux spécialistes qui ont étudié de nouveaux cas d’infection informatique. L'un d'eux est Costin Raiu, chef de l'équipe de recherche internationale de Kaspersky Lab.
Les experts n'ont pas précisé si d'autres changements étaient apparus dans WannaCry.
Le 13 mai, Darien Hass, spécialiste de Proofpoint, et l'auteur du blog MalwareTech ont réussi à arrêter la propagation du virus - ils ont découvert que le virus devenait insignifiant. nom de domaine, et a enregistré cette adresse. Après cela, ils ont découvert que la propagation de WannaCry s'était arrêtée. Cependant, les experts ont noté que les créateurs du virus publieraient très probablement bientôt une version mise à jour du programme.
Si l'ordinateur dispose d'un système d'exploitation Système Windows n'a pas redémarré, les données peuvent alors être enregistrées sans la rançon requise par le virus WannaCry. La clé de la solution est contenue dans le système d'exploitation lui-même, déclare Adrien Guinet, spécialiste de la sécurité Internet chez Quarkslab. célèbre pirate informatique Matt Suish et le pigiste Benjamin Delpy. Le système lui-même empêche la destruction des fichiers après le délai fixé pour le paiement de la rançon. Cette méthode est utilisée dans toutes les versions de Windows. Nouvel outil pour sauvegarder les données, les experts ont appelé Wanakiwi. Dans son Blog Matt Suish a publié les détails de la candidature méthode ouverte combattre le virus, décrivant tous les détails techniques.
Tous les fichiers ne sont pas récupérables
Cela explique pourquoi certains ont affirmé que certains outils seraient disponibles pour décrypter tous les fichiers verrouillés par WannaCry. Malheureusement, d'après notre analyse du fonctionnement de ce ransomware, il apparaît que seuls quelques fichiers cryptés avec la clé de démonstration peuvent être déchiffrés par l'outil.
Mais il y a peut-être un peu d'espoir. Fichiers stockés sur le bureau, Mes documents ou tout autre lecteurs amovibles l’ordinateur pendant l’infection sont écrasés par des données générées aléatoirement et supprimés. Cela signifie qu'ils ne peuvent pas être récupérés à l'aide de File Recovery ou de Disk Recovery.
Cependant, en raison d'éventuelles faiblesses du logiciel malveillant, il est possible de récupérer d'autres fichiers cryptés sur le système lorsqu'ils ont été enregistrés en dehors de ces trois emplacements à l'aide de l'outil de récupération de disque, car la plupart des fichiers sont déplacés vers un dossier temporaire puis généralement supprimés. mais n'est pas écrasé par le nettoyeur. Cependant, le taux de récupération peut différer selon différents systèmes, car le fichier supprimé peut être écrasé par d'autres opérations sur le disque.
En bref, il est possible de récupérer certains fichiers qui ont été cryptés avec WannaCrypt mais qui n'ont pas payé la rançon, mais récupérer tous les fichiers sans sauvegarde semble actuellement impossible.
Par mesure de sécurité, méfiez-vous de tout service proposant de décrypter tous les fichiers, etc., car ces décrypteurs pourraient très bien être masqués par des logiciels malveillants.
Nous avons testé la récupération de fichiers à l'aide de l'outil de récupération de disque Disk Drill, la capture d'écran ci-dessous montre les fichiers supprimés qui ont été détectés et récupérés à l'aide de cet outil :
Parfois, les créateurs de ransomwares font des erreurs dans leur code. Ces erreurs peuvent aider les victimes à retrouver l'accès à leurs fichiers après une infection. Notre article décrit brièvement plusieurs erreurs commises par les développeurs du ransomware WannaCry.
Erreurs dans la logique de suppression de fichiers
Lorsque Wannacry crypte des fichiers sur l'ordinateur d'une victime, il lit le contenu du fichier d'origine, le crypte et l'enregistre dans un fichier avec l'extension « .WNCRYT ». Une fois le processus de cryptage terminé, il déplace le fichier portant l'extension « .WNCRYT » vers un fichier « .WNCRY » et supprime le fichier d'origine. La logique derrière cette suppression peut varier en fonction de l'emplacement et des propriétés des fichiers d'origine.
Lors de la recherche de fichiers sur le lecteur système :
Si le fichier se trouve dans un dossier « important » (du point de vue des développeurs du ransomware, par exemple sur le bureau ou dans le dossier Documents), alors avant qu'il ne soit supprimé, des données aléatoires seront écrites dessus. Dans ce cas, les moyens de restaurer le contenu fichier source Non.
Si le fichier est stocké en dehors des dossiers « importants », le fichier d'origine sera déplacé vers le dossier %TEMP%\%d.WNCRYT (où %d est une valeur numérique). Un tel fichier contient les données originales sur lesquelles rien n'est écrit - il est simplement supprimé du disque. Par conséquent, il existe une forte probabilité qu'il puisse être récupéré à l'aide de programmes de récupération de données.
Renommé fichiers originaux, qui peut être restauré à partir du répertoire %TEMP%
Lors de la recherche de fichiers sur d'autres lecteurs (non système) :
- Le ransomware crée le dossier « $RECYCLE » et y définit les attributs « caché » et « système ». En conséquence, le dossier devient invisible dans Windows Explorer, si la configuration de l'Explorateur est définie par défaut. Selon le plan, les fichiers originaux seront déplacés vers ce dossier après cryptage.
Procédure définissant un répertoire temporaire pour stocker les fichiers originaux avant de les supprimer
- Cependant, en raison d'erreurs de synchronisation dans le code du ransomware, les fichiers d'origine restent dans de nombreux cas dans le même répertoire et ne sont pas déplacés vers le dossier $RECYCLE.
- Les fichiers originaux ne sont pas supprimés de manière sécurisée. Ce fait permet de restaurer fichiers supprimés en utilisant des programmes de récupération de données.
Fichiers originaux pouvant être récupérés à partir d'un lecteur non système
Procédure qui génère un chemin temporaire pour le fichier d'origine
Section de code qui appelle les procédures décrites ci-dessus
Erreur lors du traitement des fichiers protégés en écriture
En analysant WannaCry, nous avons également découvert que le ransomware avait une erreur dans le traitement des fichiers protégés en écriture. S'il existe de tels fichiers sur l'ordinateur infecté, le ransomware ne les chiffrera pas du tout : des copies cryptées de chacun de ces fichiers seront créées et les fichiers originaux eux-mêmes ne recevront que l'attribut « caché ». Dans ce cas, ils peuvent être facilement retrouvés et restaurés dans leurs attributs normaux.
Les fichiers originaux protégés en écriture ne sont pas cryptés et ne sont déplacés nulle part
conclusions
À la suite de notre étude approfondie de ce ransomware, il devient clair que ses développeurs ont commis de nombreuses erreurs et que la qualité du code est assez faible, comme nous l'avons noté ci-dessus.
Si votre ordinateur a été infecté Le rançongiciel WannaCry, existe Grande chance que vous pourrez récupérer de nombreux fichiers cryptés. Pour cela, vous pouvez utiliser utilitaires gratuits pour récupérer des fichiers.
Bon après-midi
Il est facile de supprimer le virus WannaCrypt (Wana Decrypt0r 2.0) de votre ordinateur, instructions simples Ci-dessous convient à tout version moderne Les fenêtres. Mais il n’est pas encore possible de décrypter les fichiers .WNCRY gratuitement. Tous grands fabricants antivirus logiciel travaillent sur un tel décodeur, mais il n'y a pas encore eu de progrès significatif dans cette direction.
Si vous supprimez un virus de votre ordinateur, il est fort probable que vous ne puissiez jamais décrypter les fichiers cryptés. WannaCrypt (Wana Decrypt0r 2.0) utilise très méthodes efficaces le cryptage et les chances qu’un décrypteur gratuit soit développé ne sont pas si nombreuses.
Vous devez décider si vous êtes prêt ou non à perdre vos fichiers cryptés. Si vous êtes prêt, suivez les instructions ci-dessous ; si vous n’êtes pas prêt, payez une rançon aux créateurs du virus. À l’avenir, assurez-vous de commencer à utiliser n’importe quel système de sauvegarde pour vos fichiers et documents ; il en existe désormais de nombreux, payants et gratuits.
1. Fermez le port réseau 445 T :
- Courir ligne de commande cmd en tant qu'administrateur (instructions : ).
- Copiez le texte suivant : Netsh advfirewall firewall add Rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
- Collez-le dans la ligne de commande et appuyez sur la touche Entrée, le système devrait répondre par « OK ».
3. Configurez l'affichage des informations masquées et dossiers système , pour ça:
- Appuyez simultanément sur les touches Win R ;
- Tapez « control.exe » dans la fenêtre et appuyez sur Entrée ;
- Dans la barre de recherche du Panneau de configuration (en haut à droite), écrivez « Options de l'explorateur » ;
- Cliquez sur le raccourci « Options de l'explorateur » dans la fenêtre principale ;
- Dans la nouvelle fenêtre, allez dans l'onglet « Affichage » ;
- Recherchez « Fichiers et dossiers cachés » et sélectionnez « Afficher fichiers cachés, dossiers et lecteurs" ;
- Cliquez sur « Appliquer » puis « OK ».
4. Ouvrez l'Explorateur, accédez aux dossiers suivants :
- %Données de programme%
- %DONNÉES D'APPLICATION%
- %TEMP%
(copiez simplement chaque nom de dossier dans la barre d'adresse de l'Explorateur).
Dans chacun des dossiers spécifiés, examinez attentivement tous les sous-dossiers et fichiers. Supprimez tout ce qui contient une mention du virus WannaCrypt (Wana Decrypt0r 2.0) dans son nom.
Recherchez les entrées de registre suspectes dans les dossiers suivants :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
6. Redémarrez votre ordinateur.
bac à sable
Valéra 18 mai 2017 à 09:52Comment récupérer des fichiers après avoir crypté le virus ransomware WannaCry
Bonjour, Habrazhiteliki. Beaucoup de choses ont été écrites sur Habré sur la façon de se protéger de WannaCry. Mais pour une raison quelconque, il n'a été expliqué nulle part comment restituer les données cryptées. Je veux combler cette lacune. Et un peu de lumière sur la façon dont nous avons fait cela dans notre entreprise « bien connue » impliquée dans la logistique. Il s’agit plutôt d’une instruction destinée à nos administrateurs de la sécurité de l’information.
Récupération après cryptage des données
Il ne s’agit pas de décryptage, mais plutôt de récupération. Et cela ne fonctionne que si activé cliché instantané dans Windows, c'est-à-dire Les données peuvent être restaurées à partir des points de restauration Windows eux-mêmes.
Pour ce faire, vous pouvez utiliser l'utilitaire ShadowExplorer - il est gratuit et vous permet de restaurer des fichiers à partir de points de récupération. Des points de restauration sont créés à chaque fois que le système est mis à jour et les anciens sont écrasés par les nouveaux. Le nombre de points dépend de l'espace alloué aux points de récupération. En moyenne, 5 à 6 d'entre eux sont stockés sur Windows moyen.
Sélectionnez un point de récupération et vous pourrez exporter des fichiers et des répertoires vers l'emplacement dont vous avez besoin :
Sélectionnez les fichiers qui ne sont pas encore cryptés et exportez-les vers l'emplacement dont vous avez besoin.
(Dans certains cas, lorsque la mise à jour est déjà terminée, ces points de récupération peuvent être écrasés alors que les fichiers n'étaient pas encore chiffrés. Il est également possible que certaines données soient déjà chiffrées dans les points de récupération, mais d'autres ne le soient pas encore. Vous il faut restaurer uniquement ce qui peut être restauré.)
C'est en principe tout ce qui est nécessaire pour une restauration lorsque cela est possible.
Important! Après avoir restauré les fichiers, vous devez effacer les points de récupération où les données étaient déjà cryptées. Il a été remarqué que c'est là que le virus se régénère après le nettoyage.
Récupérez les données, neutralisez et supprimez le virus :
1. Déconnectez votre ordinateur du réseau2. Ensuite, vous devez utiliser l'utilitaire wann_kill_v_(numéro de version) - cet utilitaire tue le processus antivirus. Les signatures virales elles-mêmes restent stockées dans le système. Nous faisons cela parce que lorsque vous apportez une clé USB à l'ordinateur qui doit être désinfecté, le virus crypte la clé USB. Il est important d'exécuter cet utilitaire avant que le virus ne pénètre dans le lecteur flash.
3. Nettoyez votre ordinateur à l'aide de DrWeb CureIt (ici, le virus lui-même est supprimé de l'ordinateur)
4. Récupérez les données dont vous avez besoin comme décrit ci-dessus « Après le cryptage des données»
5. (Seulement après la récupération des données) Détruisez les points de récupération, car c'est là que le virus se restaure après le nettoyage.
Protection du système:
Régler:
Supprimer.
6. Déployez ensuite le correctif KB4012212, fermant ainsi la vulnérabilité réseau MS17-010
7. Allumez le réseau et installez (ou mettez à jour) un logiciel antivirus.
C'est essentiellement ainsi que j'ai combattu le virus Wanna Cry.
Mots clés : WannaCry, Décryptage