Recentemente è stato scoperto Internet Security Center 360 il nuovo tipo ransomware rivolto sia alle aziende che ai privati in molti paesi e regioni. 360 ha emesso una tempestiva diffida emergenza 12 maggio dopo la scoperta, per ricordare agli utenti i rischi imminenti. Questo ransomware si diffonde da alta velocità tutto il mondo. Secondo statistiche incomplete, decine di migliaia di dispositivi in 99 paesi sono stati infettati in poche ore dall'esplosione e questo Network Worm sta ancora cercando di espandere la sua influenza.
In genere, un virus ransomware è un malware con l'intento esplicito di estorsione. Crittografa i file della vittima con un algoritmo crittografico asimmetrico, rendendoli inaccessibili e chiedendo un riscatto per la loro decrittazione. Se il riscatto non viene pagato, i file non possono essere recuperati. Questa nuova specie ha il nome in codice WanaCrypt0r. Ciò che lo rende così letale è che ha usato lo strumento di hacking "EternalBLue" che è stato rubato dalla NSA. Questo spiega anche perché WanaCrypt0r è in grado di diffondersi rapidamente in tutto il mondo e ha causato molte perdite in pochissimo tempo. Dopo aver sfondato la rete Worms il 12 maggio, il dipartimento sicurezza principale presso il 360 Internet Security Center ha condotto un monitoraggio approfondito e scansione profonda. Ora possiamo rilasciare una serie di strumenti di rilevamento, protezione dei dati e soluzioni di ripristino contro WanaCrypt0r.
360 Helios Team è un team di ricerca e analisi APT (Advanced Persistent Attack) del dipartimento Core Security, dedicato principalmente all'indagine sugli attacchi APT e alla risposta agli incidenti di minaccia. I ricercatori della sicurezza hanno analizzato attentamente il meccanismo dei virus per trovare il metodo più efficiente e accurato per recuperare i file crittografati. Utilizzando questo metodo, 360 potrebbe diventare il primo provider di sicurezza a rilasciare uno strumento di recupero dati: "360 Ransomware Infected Recupero file per aiutare i propri clienti a recuperare rapidamente e completamente i file infetti. Ci auguriamo che questo articolo ti aiuti a comprendere i trucchi di questo worm, così come la discussione più ampia sul recupero dei file crittografati.
Capitolo 2 Analisi dei processi di crittografia di base
Questo worm rilascia il modulo di crittografia in memoria e carica direttamente la DLL in memoria. La DLL esporta quindi la funzione TaskStart, che dovrebbe essere utilizzata per avviare l'intero processo di crittografia. DLL accede in modo dinamico file system e Funzioni API associati alla crittografia per evitare il rilevamento statico.
1. Fase iniziale
Per prima cosa utilizza "SHGetFolderPathW" per ottenere i percorsi delle cartelle del desktop e dei file. Quindi chiamerà la funzione "10004A40" per ottenere il percorso dei desktop e delle cartelle di file di altri utenti e chiamerà la funzione EncrytFolder per crittografare le cartelle separatamente.
Passa attraverso tutte le unità due volte dal driver Z a C. La prima scansione consiste nell'eseguire tutto unità locali(escluso il driver-CD). La seconda scansione controlla tutte le unità mobili e chiama la funzione EncrytFolder per crittografare i file.
2. Attraversamento file
La funzione "EncryptFolder" è una funzione ricorsiva in grado di raccogliere informazioni sui file seguendo la procedura seguente:
Rimuovere percorsi o cartelle di file durante il processo incrociato:
C'è cartella interessante intitolato "Questa cartella protegge dal ransomware. Cambiarlo diminuirà la protezione". Quando lo fai, scoprirai che corrisponde alla cartella di protezione del software di protezione ransomware.
Durante la scansione dei file, il virus ransomware raccoglie informazioni sul file, come la dimensione dei file, quindi classifica i file in diversi tipi in base alla loro estensione, seguendo determinate regole:
Elenco dei tipi di estensione 1:
Elenco dei tipi di estensione 2:
3. Priorità di crittografia
Per crittografare file importanti il più rapidamente possibile, WanaCrypt0r ha sviluppato una complessa coda di priorità:
Coda prioritaria:
I.Crittografa file di tipo 2 che corrispondono anche all'elenco delle estensioni 1. Se il file è inferiore a 0X400, la priorità di crittografia verrà ridotta.
II. Crittografa i file di tipo 3 che corrispondono anche all'elenco delle estensioni 2. Se il file è inferiore a 0X400, la priorità di crittografia verrà ridotta.
III. Crittografa altri file (meno di 0x400) e altri file.
4. Logica di crittografia
L'intero processo di crittografia viene completato utilizzando sia RSA che AES. Anche se nel processo Crittografia RSA Viene utilizzato Microsoft CryptAPI, il codice AES viene compilato staticamente in una DLL. Il processo di crittografia è mostrato nella figura seguente:
Elenco delle chiavi usate:
Formato file dopo la crittografia:
Si noti che durante il processo di crittografia, il ransomware lo farà a caso seleziona alcuni file da crittografare usando il built-in chiave pubblica RSA per offrire più file che le vittime possono decrittografare gratuitamente.
Modo per file gratuiti può essere trovato nel file "f.wnry".
5. Compilazione di numeri casuali
Una volta crittografato, WanaCrypt0r compilerà i file con cui ritiene importanti numeri casuali finché non distrugge completamente il file, quindi sposta i file in una directory di file temporanea per l'eliminazione. In questo modo, gli strumenti di recupero file rendono abbastanza difficile recuperare i file e, allo stesso tempo, possono accelerare il processo di crittografia.
I file completati devono soddisfare i seguenti requisiti:
- A directory specificata(desktop, il mio documento, cartella utente)
— Il file è inferiore a 200 MB
— L'estensione del file è nell'elenco dei tipi di estensione 1
Logica di riempimento file:
- Se il file è inferiore a 0x400, verrà coperto con numeri casuali della stessa lunghezza
- Se il file è più grande di 0x400, l'ultimo 0x400 sarà coperto da numeri casuali
- Sposta il puntatore del file sull'intestazione del file e imposta 0x40000 come blocco di dati per coprire il file con numeri casuali fino alla fine.
6.Eliminare i file
WanaCrypt0r prima sposterà i file in una cartella temporanea per creare un file temporaneo e quindi lo cancellerà in vari modi.
Quando percorre le unità per crittografare i file, creerà un file temporaneo denominato nel formato "$RECYCLE + auto increment + .WNCYRT" (ad esempio: "D:\$RECYCLE\1.WNCRYT") sull'unità corrente. Soprattutto se disco correnteè di sistema (es. driver-C), utilizzerà la directory temporanea di sistema.
Successivamente, il processo avvia taskdl.exe ed elimina file temporanei con un intervallo di tempo fisso.
Capitolo 3 Capacità di recuperare i dati
Nell'analisi della sua logica di esecuzione, abbiamo notato che questo Worm sovrascriverà i file che soddisfano i requisiti specificati con numeri casuali o 0x55 al fine di distruggere le strutture dei file e impedirne il ripristino. Ma questa operazione è accettata solo per determinati file o file con una determinata estensione. Ciò significa che ci sono ancora molti file che non sono stati sovrascritti, lasciando spazio per il recupero dei file.
Durante il processo di rimozione, il verme si è spostato file sorgenti in una cartella di file temporanei chiamando la funzione MoveFileEx. Alla fine i file temporanei vengono eliminati in blocco. Durante il processo di cui sopra, i file di origine possono essere modificati, ma quelli attuali Software Il mercato del recupero dati non ne è a conoscenza, quindi alcuni file non possono essere recuperati con successo. La necessità di file per recuperare le vittime non viene quasi mai realizzata.
Per altri file, il worm ha semplicemente eseguito il comando "sposta ed elimina". Poiché il processo di eliminazione e spostamento dei file è separato, questi due thread competono tra loro, il che potrebbe causare il fallimento dello spostamento del file a causa delle differenze nell'ambiente di sistema dell'utente. Di conseguenza, il file verrà eliminato direttamente nella posizione corrente. In questo caso c'è Grande occasione che il file può essere recuperato.
https://360totalsecurity.com/s/ransomrecovery/
Utilizzando i nostri metodi di recupero, è possibile recuperare perfettamente una grande percentuale di file crittografati. Adesso versione aggiornata Lo strumento di recupero file 360 è stato sviluppato in risposta a questa esigenza di aiutare decine di migliaia di vittime a mitigare la perdita e l'impatto.
Il 14 maggio 360 è il primo provider di sicurezza a rilasciare uno strumento di recupero file che ha salvato molti file dal ransomware. Questo una nuova versione ha compiuto un altro passo nello sfruttamento delle vulnerabilità logiche di WanaCrypt0r. Può rimuovere il virus per prevenire ulteriori infezioni. Utilizzando diversi algoritmi, può trovare collegamenti nascosti tra file recuperabili gratuiti e file decrittografati per i clienti. Questo servizio di ripristino all-in-one può mitigare i danni degli attacchi ransomware e proteggere la sicurezza dei dati degli utenti.
Capitolo 4 Conclusione
Massiccia epidemia e diffusione di worm WannaCry attraverso l'uso di MS17-010, che lo rende capace di auto-replicazione e propagazione attiva, oltre alle funzioni di un comune ransomware. Indipendentemente dal carico utile dell'attacco, struttura tecnica il ransomware gioca di più ruolo importante Il virus ransomware crittografa la chiave AES utilizzando l'algoritmo crittografico asimmetrico RSA-2048. Quindi ogni file viene crittografato utilizzando un algoritmo AES-128 casuale crittografia simmetrica. Ciò significa fare affidamento su calcoli e metodi esistenti per decrittografare RSA-2048 e AES-128 senza aprire o chiavi private quasi impossibile. Tuttavia, gli autori lasciano alcuni errori nel processo di crittografia, che fornisce e aumenta la possibilità di ripristino. Se i passaggi sono abbastanza veloci, la maggior parte dei dati può essere salvata.
Inoltre, poiché il riscatto viene pagato in bitcoin anonimi, per i quali chiunque può ottenere un indirizzo senza una vera certificazione, non è possibile identificare un utente malintenzionato dagli indirizzi, tanto meno tra account diversi dello stesso indirizzo del proprietario. Pertanto, a causa dell'adozione di un algoritmo di crittografia indistruttibile e di bitcoin anonimi, è molto probabile che questo tipo di redditizia epidemia di ransomware continuerà per molto tempo. Tutti devono stare attenti.
Squadra 360 Helios
360 Helios Team è il team di ricerca APT (Advanced Persistent Attack) di Qihoo 360.
Il team è dedicato a indagare sugli attacchi APT, rispondere a incidenti di minacce e indagare sulle catene industriali dell'economia sommersa.
Sin dal suo inizio nel dicembre 2014, il team si è integrato con successo enorme base 360 dati e ha creato una rapida procedura di inversione e correlazione. Finora sono stati scoperti ed esposti oltre 30 APT e gruppi di economia sommersa.
360 Helios fornisce anche soluzioni di valutazione e risposta alle minacce per le aziende.
registri pubblici
Contatto
E-mail Posta: [email protetta]
Gruppo WeChat: 360 Helios Team
Scarica il codice QR qui sotto per seguirci su WeChat!
Il nuovo virus WannaCry ransomware o WanaDecryptor 2.0, che lascia file .wncry crittografati invece dei dati dell'utente, scuote Internet. Centinaia di migliaia di computer e laptop in tutto il mondo sono stati colpiti. Non solo sofferto utenti ordinari, ma reti di tali grandi aziende come Sberbank, Rostelecom, Beeline, Megafon, le ferrovie russe e persino il Ministero degli affari interni russo.
Tale distribuzione di massa del virus ransomware è stata assicurata dall'uso di nuove vulnerabilità nei sistemi operativi Famiglie di Windows, che sono stati declassificati con i documenti dell'intelligence statunitense.
WanaDecryptor, Wanna Cry, WanaCrypt o Wana Decryptor - qual è il nome corretto?
Al momento è iniziato attacco di virus sul web globale nessuno sapeva esattamente come si chiamasse la nuova infezione. All'inizio è stata chiamata Wana Decrypt0r dal nome della finestra con il messaggio che è apparso sul desktop. Qualche tempo dopo, è apparsa una nuova modifica del crittografo - Voglio Decrypt0r 2.0. Ma ancora una volta, questa è una finestra di ransomware che in realtà vende all'utente una chiave di decrittografia, che teoricamente dovrebbe arrivare alla vittima dopo che ha trasferito l'importo richiesto ai truffatori. Il virus stesso, come si è scoperto, si chiama Voglio piangere(bordo vasca).
Su Internet, puoi ancora trovare i suoi diversi nomi. E spesso gli utenti al posto della lettera "o" mettono il numero "0" e viceversa. Inoltre, varie manipolazioni spaziali, come WanaDecryptor e Wana Decryptor, o WannaCry e Wanna Cry, creano molta confusione.
Come funziona WanaDecryptor
Il modo in cui funziona questo ransomware è fondamentalmente diverso dal precedente ransomware che abbiamo incontrato. In precedenza, affinché un'infezione iniziasse a funzionare su un computer, doveva prima essere avviata. Cioè, l'utente con le orecchie ha ricevuto una lettera per posta con un allegato complicato: uno script mascherato da un documento. L'uomo correva file eseguibile e quindi ha attivato l'infezione del sistema operativo. Il virus Vanna Edge funziona in modo diverso. Non ha bisogno di cercare di ingannare l'utente, è sufficiente che abbia accesso vulnerabilità critica Servizio di condivisione file SMBv1 tramite la porta 445. A proposito, questa vulnerabilità è diventata disponibile grazie alle informazioni provenienti dagli archivi delle agenzie di intelligence americane pubblicate sul sito web di wikileaks.
Una volta sul computer della vittima, WannaCrypt inizia a crittografare i file in massa con il suo algoritmo molto potente. I seguenti formati sono principalmente interessati:
chiave, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
Il file crittografato ha l'estensione modificata in .grido. Il virus ransomware può aggiungere altri due file a ciascuna cartella. La prima è un'istruzione che descrive come decrittografare il file wncry Please_Read_Me.txt e la seconda è l'applicazione di decrittografia WanaDecryptor.exe.
Questo sporco trucco funziona tranquillamente finché non colpisce tutto duro disco, dopo di che visualizzerà una finestra WanaDecrypt0r 2.0 che richiede denaro. Se l'utente non gli ha permesso di completarlo e l'antivirus è stato in grado di rimuovere il programma cryptor, sul desktop apparirà il seguente messaggio:
Cioè, l'utente viene avvisato che alcuni dei suoi file sono già stati interessati e, se si desidera recuperarli, restituire il cryptor. Sì, ora! In nessun caso farlo, altrimenti perderai il resto. Attenzione! Nessuno sa come decifrare i file WNCRY. Fino. Forse in seguito apparirà uno strumento di decrittazione: aspetta e vedrai.
Vuoi piangere protezione antivirus
In generale, la patch Microsoft MS17-010 per la protezione contro il ransomware Wanna Decryptor è stata rilasciata il 12 maggio e se il servizio è aggiornamenti di Windows funziona bene allora
molto probabilmente il sistema operativo è già protetto. Altrimenti, devi scaricare questa patch Microsoft per il tuo Versioni di Windows e installarlo immediatamente.
Quindi è consigliabile disabilitare del tutto il supporto SMBv1. Almeno fino a quando l'ondata dell'epidemia non si placherà e la situazione non si sarà stabilizzata. Puoi farlo sia dalla riga di comando con diritti di amministratore inserendo il comando:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Come questo:
O attraverso il pannello Controlli di Windows. Lì devi andare alla sezione "Programmi e funzionalità", selezionare "Attiva o disattiva". Componenti di Windows". Apparirà una finestra:
Troviamo la voce "Supporto per la condivisione di file SMB 1.0/CIFS", deselezionatela e cliccate su "OK".
Se improvvisamente si verificano problemi con la disabilitazione del supporto SMBv1, puoi andare dall'altra parte per proteggerti da Wanacrypt0r 2.0. Creare una regola nel firewall utilizzato nel sistema che blocchi le porte 135 e 445. Per lo standard Firewall di Windows deve essere inserito riga di comando seguente:
netsh advfirewall firewall aggiungi regola dir=in action=block protocol=TCP localport=135 name="Close_TCP-135"
netsh advfirewall firewall aggiungi regola dir=in action=block protocol=TCP localport=445 name="Close_TCP-445"
Un'altra opzione è usare uno speciale gratuito Applicazione Windows Detergente per porte di vermi:
Non richiede installazione e consente di bloccare facilmente le lacune nel sistema attraverso le quali il virus ransomware può insinuarsi al suo interno.
E, naturalmente, non dobbiamo dimenticare protezione antivirus. Utilizzare solo collaudato prodotti antivirus— ragnatela, Kaspersky Internet Sicurezza, E-SET Nod32. Se hai già installato un antivirus, assicurati di aggiornare i suoi database:
Finalmente signore un piccolo consiglio. Se hai dati molto importanti che è altamente indesiderabile perdere, salvali in rigido rimovibile disco e metterlo nell'armadio. Almeno durante l'epidemia. Questo è l'unico modo per garantire in qualche modo la loro sicurezza, perché nessuno sa quale sarà la prossima modifica.
Se il computer ha messaggio testuale, che dice che i tuoi file sono crittografati, quindi non avere fretta di farti prendere dal panico. Quali sono i sintomi della crittografia dei file? La solita estensione cambia in *.vault, *.xtbl, * [email protetta] _XO101 ecc. I file non possono essere aperti - è necessaria una chiave, che può essere acquistata inviando una lettera all'indirizzo indicato nel messaggio.
Da dove hai preso i file crittografati?
Il computer ha rilevato un virus che ha bloccato l'accesso alle informazioni. Spesso gli antivirus li saltano, perché questo programma di solito si basa su alcuni innocui utilità gratuita crittografia. Rimuoverai il virus stesso abbastanza rapidamente, ma potrebbero sorgere seri problemi con la decrittazione delle informazioni.
Il supporto tecnico di Kaspersky Lab, Dr.Web e altre note aziende coinvolte nello sviluppo di software antivirus, in risposta alle richieste degli utenti di decrittografare i dati, segnala che è impossibile farlo in un tempo ragionevole. Esistono diversi programmi in grado di raccogliere il codice, ma possono funzionare solo con virus studiati in precedenza. Se ti trovi di fronte nuova modifica, allora le possibilità di ripristinare l'accesso alle informazioni sono estremamente ridotte.
In che modo un virus ransomware arriva su un computer?
Nel 90% dei casi, gli utenti stessi attivano il virus sul computer aprendo email sconosciute. Successivamente, arriva un messaggio di posta elettronica con un oggetto provocatorio: "Citazione in tribunale", "Prestito debito", "Avviso dell'ispettorato fiscale", ecc. C'è un allegato all'interno dell'e-mail falsa, dopo il download il ransomware entra nel computer e inizia a bloccare gradualmente l'accesso ai file.
La crittografia non avviene istantaneamente, quindi gli utenti hanno il tempo di rimuovere il virus prima che tutte le informazioni siano crittografate. È possibile distruggere uno script dannoso utilizzando le utility di pulizia Dr.Web CureIt, Kaspersky sicurezza in internet e Malwarebytes Antimalware.
Modi per recuperare i file
Se la protezione del sistema è stata abilitata sul computer, anche dopo l'azione del virus ransomware, ci sono possibilità di ripristinare i file a uno stato normale utilizzando copie shadow dei file. Il ransomware di solito tenta di rimuoverli, ma a volte non riesce a farlo a causa della mancanza di privilegi di amministratore.
Ripristino di una versione precedente:
Per mantenere le versioni precedenti, è necessario abilitare la protezione del sistema.
Importante: la protezione del sistema deve essere abilitata prima che appaia il ransomware, dopodiché non sarà più di aiuto.
- Apri le proprietà "Computer".
- Seleziona "Protezione del sistema" dal menu a sinistra.
- Evidenzia l'unità C e fai clic su "Configura".
- Seleziona le impostazioni di ripristino e versione precedente File. Applicare le modifiche facendo clic su OK.
Se hai adottato queste misure prima della comparsa di un virus che crittografa i file, dopo aver pulito il tuo computer Codice malevolo avrai buone possibilità di recuperare le informazioni.
Utilizzo di utilità speciali
Kaspersky Lab ha preparato diverse utilità per aiutarti ad aprire i file crittografati dopo la rimozione del virus. Il primo decryptor che vale la pena provare è Kaspersky RectorDecryptor.
- Scarica l'applicazione dal sito Web ufficiale di Kaspersky Lab.
- Quindi esegui l'utilità e fai clic su "Avvia scansione". Specificare il percorso di qualsiasi file crittografato.
Se il malware non ha modificato l'estensione dei file, per decrittografarli è necessario raccoglierli cartella separata. Se l'utilità è RectorDecryptor, scarica altri due programmi dal sito Web ufficiale di Kaspersky: XoristDecryptor e RakhniDecryptor. 
L'ultima utility di Kaspersky Lab si chiama Ransomware Decryptor. Aiuta a decifrare i file dopo il virus CoinVault, che non è ancora molto comune in RuNet, ma potrebbe presto sostituire altri Trojan.
L'attacco più potente del virus Wana Decryptor è iniziato ieri, 12 maggio 2017, migliaia di computer sono stati colpiti in tutto il mondo. In poche ore c'erano 45.000 computer infetti nel mondo, questa cifra cresceva ogni minuto.
La Russia si è rivelata il paese più colpito, fino ad oggi l'attacco del virus continua e ora gli hacker stanno cercando di impossessarsi del settore bancario. Ieri l'attacco principale ha colpito i computer degli utenti ordinari e la rete del Ministero degli Affari Interni della Russia.
Il programma crittografa l'accesso a vari file sul tuo computer e si offre di accedervi solo dopo aver pagato con bitcoin. Così gli hacker possono milioni di dollari. Non è ancora possibile decrittare i file WNCRY, ma è possibile recuperare i file crittografati utilizzando i programmi ShadowExplorer e PhotoRec, ma nessuno può dare garanzie.
Questo virus ransomware viene spesso chiamato Wana Decryptor, tuttavia, va anche con gli altri nomi WanaCrypt0r, Wanna Cry o Wana Decrypt0r. Prima di questo, il virus principale aveva un ransomware fratello minore Voglio piangere e WanaCrypt0r. Successivamente, il numero "0" è stato sostituito con la lettera "o" e il virus principale è stato chiamato Wana Decrypt0r.
Alla fine, il virus aggiunge l'estensione WNCRY al file crittografato, a volte viene chiamato con questa abbreviazione.
In che modo Wana Decryptor infetta un computer?
Computer che eseguono un sistema operativo Sistemi Windows hanno una vulnerabilità nel servizio SMB. Questo buco ha in tutto sistema operativo Da Windows versione 7 a Windows 10. A marzo, la società ha rilasciato una patch di aggiornamento "MS17-010: Security Update for Windows SMB Server", tuttavia, il numero di computer infetti mostra che molti hanno ignorato questo aggiornamento.
Al termine del suo lavoro, il virus Wana Decryptor cercherà di eliminare tutte le copie dei file e altri backup del sistema in modo che in tal caso non possa essere ripristinato. Per fare ciò, chiederà all'utente i diritti di amministratore, il sistema operativo Windows mostrerà un avviso dal servizio UAC. Se l'utente si rifiuta di fornire pieni diritti, quindi le copie dei file rimarranno sul computer e l'utente potrà ripristinarle in modo assolutamente gratuito.
Come recuperare i file crittografati da Wana Decryptor e proteggere il tuo computer?
L'unico modo per recuperare i file che sono stati crittografati da un virus è utilizzare i programmi ShadowExplorer e PhotoRec. Come recuperare file crittografati, leggi il manuale di questi programmi.
Per evitare che un computer venga infettato dal virus ransomware WNCRY, tutte le vulnerabilità nel sistema devono essere chiuse. A tale scopo, scaricare l'aggiornamento MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Inoltre, non dimenticare di installare un antivirus sul tuo computer. Zemana Anti-malware o Malwarebytes, a pagamento versione completa bloccheranno il lancio di virus ransomware.
Decryptor WannaCry( o WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), già chiamato il “virus del 2017”. E non è affatto irragionevole. Solo per le prime 24 ore dal momento della sua distribuzione - questo ransomware ha colpito più di 45.000 computer. Alcuni ricercatori lo considerano anche questo momento(15 maggio) più di un milione di computer e server sono già stati infettati. Ricordiamo che il 12 maggio ha iniziato a diffondersi il virus. Gli utenti provenienti da Russia, Ucraina, India e Taiwan sono stati i primi a soffrire. Allo stesso tempo, il virus si sta diffondendo ad alta velocità in Europa, Stati Uniti e Cina.
Le informazioni sono state crittografate su computer e server di istituzioni statali (in particolare, il Ministero degli affari interni russo), ospedali, società transnazionali, università e scuole.
Wana Decryptor (Wanna Cry o Wana Decrypt0r) ha paralizzato il lavoro di centinaia di aziende e agenzie governative in tutto il mondo
In sostanza, WinCry (WannaCry) è un exploit della famiglia EternalBlue che sfrutta una vulnerabilità piuttosto vecchia nel sistema operativo Windows (Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10) e si avvia silenziosamente nel sistema. Quindi, utilizzando algoritmi resistenti alla decrittazione, crittografa i dati degli utenti (documenti, foto, video, fogli di calcolo, database) e chiede un riscatto per decrittografare i dati. Lo schema non è nuovo, scriviamo costantemente di nuove varietà di crittografi di file, ma il metodo di distribuzione è nuovo. E questo ha portato a un'epidemia.
Sintomi:
Dopo una corretta installazione sul PC dell'utente, WannaCry tenta di diffondersi sulla rete locale ad altri PC come un worm. I file crittografati ricevono l'estensione di sistema .WCRY e diventano completamente illeggibili e non è possibile decifrarli da soli. Dopo crittografia completa Wcry cambia lo sfondo del desktop e lascia "istruzioni" per decrittografare i file nelle cartelle con dati crittografati.
All'inizio, gli hacker hanno estorto $ 300 per le chiavi di decrittazione, ma poi hanno aumentato questa cifra a $ 600.
Come impedire a WannaCry Decryptor di infettare il tuo PC?
Scarica l'aggiornamento del sistema operativo dal sito Web Microsoft.
Cosa fare se il tuo PC è infetto?
Utilizzare le istruzioni seguenti per provare a recuperare almeno alcune delle informazioni su un PC infetto. Aggiorna il tuo antivirus e installa la patch del sistema operativo. Un decoder per questo virus non esiste ancora in natura. Sconsigliamo vivamente di pagare un riscatto agli aggressori: non vi è alcuna garanzia, anche minima, che decifrano i tuoi dati dopo aver ricevuto un riscatto.
Rimuovere WannaCry ransomware con la pulizia automatica
Esclusivamente metodo efficace gestire il malware in generale e il ransomware in particolare. L'utilizzo di un collaudato complesso di sicurezza garantisce la completezza del rilevamento di eventuali componenti virali, loro rimozione completa con un clic. Nota, noi stiamo parlando su due diversi processi: disinstallazione dell'infezione e ripristino dei file sul PC. Tuttavia, la minaccia deve sicuramente essere rimossa, poiché ci sono informazioni sull'introduzione di altri Trojan per computer con il suo aiuto.
- . Dopo aver avviato il software, fare clic sul pulsante Avvia la scansione del computer(Inizia scansione). .
- Il software installato fornirà un rapporto sulle minacce rilevate durante la scansione. Per rimuovere tutte le minacce trovate, seleziona l'opzione Risolvere le minacce(Eliminare le minacce). Il malware in questione verrà completamente rimosso.
Ripristina l'accesso ai file crittografati
Come notato, il ransomware no_more_ransom blocca i file utilizzando un potente algoritmo di crittografia in modo che i dati crittografati non possano essere ripristinati con un'ondata di bacchetta magica, se non si tiene conto del pagamento di un riscatto inaudito. Ma alcuni metodi possono davvero diventare un vero toccasana che ti aiuterà a recuperare dati importanti. Di seguito puoi familiarizzare con loro.
Programma recupero automatico file (decodificatore)
È nota una circostanza molto insolita. Questa infezione cancella i file originali in forma non crittografata. Il processo di crittografia estorsivo prende quindi di mira copie di essi. Questo offre un'opportunità per tale strumenti software come ripristinare gli oggetti eliminati, anche se è garantita l'affidabilità della loro rimozione. Si consiglia vivamente di ricorrere alla procedura di recupero file, la sua efficacia è fuori dubbio. 
Copie shadow del volume
L'approccio si basa su Procedura di Windows Riserva copia file, che viene ripetuto in ogni punto di ripristino. Condizione importante per il funzionamento di questo metodo: la funzione “Ripristino configurazione di sistema” deve essere attivata prima dell'infezione. Tuttavia, tutte le modifiche apportate al file dopo il punto di ripristino non si rifletteranno nella versione ripristinata del file.
Backup
Questo è il migliore tra tutti i metodi non di acquisto. Se la procedura di backup dei dati su un server esterno è stata utilizzata prima che il ransomware attaccasse il tuo computer, per ripristinare i file crittografati è sufficiente accedere all'apposita interfaccia, selezionare i file necessari e avviare il meccanismo di recupero dati dal backup. Prima di eseguire l'operazione, è necessario assicurarsi che il ransomware sia stato completamente rimosso.
Verificare la presenza di eventuali componenti residui del ransomware WannaCry
Pulizia dentro modalità manualeè irto di omissione di singoli frammenti di ransomware che possono evitare la rimozione sotto forma di oggetti nascosti del sistema operativo o voci di registro. Per eliminare il rischio di conservazione parziale di singoli elementi dannosi, scansiona il tuo computer utilizzando una sicurezza affidabile pacchetto software specializzato in malware.
