WannaCry Decryptor ( sau WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), este deja numit „virusul anului 2017”. Și deloc fără motiv. În doar primele 24 de ore de la momentul în care a început să se răspândească, acest ransomware a infectat peste 45.000 de computere. Unii cercetători cred că în acest moment (15 mai) mai mult de un milion de computere și servere au fost deja infectate. Să vă reamintim că virusul a început să se răspândească pe 12 mai. Primii afectați au fost utilizatorii din Rusia, Ucraina, India și Taiwan. În acest moment, virusul se răspândește cu mare viteză în Europa, SUA și China.
Informațiile au fost criptate pe computerele și serverele agențiilor guvernamentale (în special Ministerul rus al Afacerilor Interne), spitale, corporații transnaționale, universități și școli.
Wana Decryptor (Wanna Cry sau Wana Decrypt0r) a paralizat activitatea a sute de companii și agenții guvernamentale din întreaga lume
În esență, WinCry (WannaCry) este un exploit al familiei EternalBlue, care folosește o vulnerabilitate destul de veche în sistemul de operare Windows (Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10) și se încarcă în tăcere în sistem. Apoi, folosind algoritmi rezistenți la decriptare, criptează datele utilizatorului (documente, fotografii, videoclipuri, foi de calcul, baze de date) și solicită o răscumpărare pentru decriptarea datelor. Schema nu este nouă, scriem în mod constant despre noi tipuri de criptoare de fișiere - dar metoda de distribuție este nouă. Și asta a dus la o epidemie.
Simptome:
După instalarea cu succes pe computerul utilizatorului, WannaCry încearcă să se răspândească în rețeaua locală la alte PC-uri ca un vierme. Fișierele criptate primesc extensia de sistem .WCRY și devin complet ilizibile și nu este posibil să le decriptați singur. După criptarea completă, Wcry schimbă imaginea de fundal de pe desktop și lasă „instrucțiuni” pentru decriptarea fișierelor în foldere cu date criptate.
La început, hackerii au extorcat 300 de dolari pentru cheile de decriptare, dar apoi au ridicat această cifră la 600 de dolari.
Cum să preveniți infectarea computerului dvs. cu ransomware-ul WannaCry Decryptor?
Descărcați actualizarea sistemului de operare de pe site-ul web Microsoft.
Ce să faci dacă computerul tău este infectat?
Utilizați instrucțiunile de mai jos pentru a încerca să recuperați cel puțin o parte din informațiile de pe computerul infectat. Actualizați-vă antivirusul și instalați patch-ul sistemului de operare. Un decriptor pentru acest virus nu există încă în natură. Nu recomandăm insistent să plătiți o răscumpărare atacatorilor - nu există nicio garanție, nici măcar cea mai mică, că vă vor decripta datele după primirea răscumpărării.
Eliminați ransomware-ul WannaCry folosind un agent de curățare automat
O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea completă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.
- . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea). .
- Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.
Restabiliți accesul la fișierele criptate
După cum sa menționat, ransomware-ul no_more_ransom blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate nu pot fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută. Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.
Program de recuperare automată a fișierelor (decriptor)
Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor; eficacitatea acesteia este fără îndoială. 
Copii umbră ale volumelor
Abordarea se bazează pe procesul de copiere a fișierelor Windows, care se repetă la fiecare punct de restaurare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.
Backup
Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.
Verificați posibilele componente reziduale ale ransomware-ului WannaCry
Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.
Virusul WannaCry este un program ransomware care utilizează exploit-ul EternalBlue pentru a infecta computerele care rulează sistemul de operare Microsoft Windows. Ransomware-ul este cunoscut și ca WannaCrypt0r, WannaCryptor, WCry și Wana Decrypt0r. Odată ce atinge computerul țintă, criptează rapid toate fișierele și le etichetează cu una dintre următoarele extensii: .wcry, .wncrytȘi .wncry.
Virusul face datele inutile folosind o criptare puternică, schimbă imaginea de fundal de pe desktop, creează o notă de răscumpărare „Please Read Me!.txt” și apoi lansează o fereastră de program numită „WannaDecrypt0r” care raportează că fișierele de pe computer au fost criptate. Malware-ul solicită victimei să plătească o răscumpărare de la 300 la 600 USD în Bitcoin și promite că va șterge toate fișierele dacă victima nu plătește banii în termen de 7 zile.
Programul malware șterge copiile umbra pentru a preveni recuperarea datelor criptate. În plus, ransomware-ul acționează ca un vierme, deoarece odată ce aterizează pe computerul țintă, începe să caute alte computere pentru a infecta.
Chiar dacă virusul promite să vă restaureze fișierele după plată, nu există niciun motiv să aveți încredere în criminali. Echipa site-ului recomandă eliminarea ransomware-ului în modul sigur folosind drivere de rețea, folosind programe anti-malware precum .
Criminalii cibernetici au folosit acest ransomware într-un atac cibernetic masiv care a fost lansat vineri, 12 mai 2017. Potrivit rapoartelor recente, atacul rău intenționat a afectat cu succes peste 230.000 de computere din peste 150 de țări.
Impactul unui atac cibernetic este îngrozitor, deoarece virusul vizează organizații din diferite sectoare, asistența medicală pare să fie cea mai grav afectată. Din cauza atacului, diverse servicii spitalicești au fost suspendate, cu sute de intervenții chirurgicale anulate. Primele companii majore care au fost lovite de cumpărare au fost Telefonica, Gas Natural și Iberdrola, potrivit rapoartelor.
Unele dintre companiile afectate au avut copii de siguranță ale datelor, în timp ce altele s-au confruntat cu consecințe tragice. Fără excepție, toate victimele sunt sfătuite să elimine WannaCry cât mai curând posibil, deoarece acest lucru poate ajuta la prevenirea răspândirii în continuare a ransomware-ului.
WannaCry se răspândește folosind exploit EternalBlue
Principalul vector de infecție al ransomware-ului WannaCry este exploit-ul EternalBlue, care este un program spion cibernetic furat de la Agenția de Securitate Națională a SUA (NSA) și publicat online de un grup de hackeri cunoscuți sub numele de Shadow Brokers.
Atacul EternalBlue vizează vulnerabilitatea Windows CVE-2017-0145 din protocolul Microsoft SMB (Server Message Block). Vulnerabilitatea a fost corectată acum, conform buletinului de securitate Microsoft MS17-010 (lansat pe 14 mai 2017). Codul de exploatare folosit de executori a fost destinat să infecteze sistemele vechi Windows 7 și Windows Server 2008, dar utilizatorii Windows 10 ar putea să nu fie afectați de virus.
Malware-ul vine de obicei sub forma unui dropper troian care conține un set de exploit-uri și ransomware-ul în sine. Dropperul încearcă apoi să se conecteze la unul dintre serverele de la distanță pentru a descărca ransomware-ul pe computer. Cele mai recente versiuni de WannaCry sunt distribuite prin girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 în regiunea APAC. Ransomware-ul poate afecta pe oricine nu are cunoștințe despre distribuția de ransomware, așa că vă recomandăm să citiți acest ghid pentru prevenirea ransomware-ului WannaCry, pregătit de experții noștri:
- Instalați actualizarea de securitate a sistemului MS17-010, lansată recent de Microsoft, care va remedia vulnerabilitatea exploatată de ransomware. Actualizările au fost lansate exclusiv pentru sisteme de operare mai vechi, cum ar fi Windows XP sau Windows 2003.
- Rămâneți la curent pentru actualizări ale altor programe de calculator.
- Instalați un instrument antivirus de încredere pentru a vă proteja computerul de încercările ilegale de a vă infecta sistemul cu programe malware.
- Nu deschide niciodată e-mailuri care vin de la străini sau companii cu care nu faci afaceri.
- Dezactivați SMBv1 utilizând instrucțiunile furnizate de Microsoft.
Cercetătorul arată capturi de ecran făcute în timpul atacului WannaCry. Puteți vedea fereastra Wanna Decrypt0r, precum și imaginea setată de WannaCry ca fundal pentru desktop după infectarea sistemului și criptarea tuturor fișierelor de pe acesta. 
Metoda 1. (Mod sigur)
Selectați „Mod sigur cu rețea” 
Metoda 1. (Mod sigur)
Selectați „Activați modul sigur cu rețea” 
Selectați „Modul sigur cu linie de comandă” 
Metoda 2. (Restaurare sistem)
Selectați „Activați modul sigur cu linia de comandă” 
Metoda 2. (Restaurare sistem)
Tastați „cd restore” fără ghilimele și apăsați „Enter” 
Metoda 2. (Restaurare sistem)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter” 
Metoda 2. (Restaurare sistem)
În fereastra „System Restore” care apare, selectați „Next” 
Metoda 2. (Restaurare sistem)
Selectați punctul de restaurare și faceți clic pe „Următorul” 
Metoda 2. (Restaurare sistem)
Faceți clic pe „Da” și începeți recuperarea sistemului ⇦ ⇨
Slide 1 din 10
Versiunile WannaCry
Virusul folosește cifrul criptografic AES-128 pentru a bloca în siguranță fișierele, adaugă extensia de fișier .wcry la numele acestora și cere să transfere 0,1 Bitcoin în portofelul virtual furnizat. Malware-ul a fost distribuit inițial prin e-mailuri spam; Cu toate acestea, acest virus special nu a generat prea multe venituri pentru dezvoltatorii săi. În ciuda faptului că fișierele criptate de acest ransomware s-au dovedit a fi irecuperabile fără o cheie de decriptare, dezvoltatorii au decis să actualizeze programul rău intenționat.
Virusul ransomware WannaCrypt0r. Acesta este un alt nume pentru versiunea actualizată a ransomware-ului. Noua versiune vizează vulnerabilitățile Windows ca principal vector de atac și criptează toate fișierele stocate în sistem în câteva secunde. Fișierele infectate pot fi recunoscute prin extensiile adăugate la numele fișierului imediat după numele fișierului original - .wncry, wncryt sau .wcry.
Nu există nicio modalitate de a recupera datele deteriorate fără copii de rezervă sau o cheie privată creată în timpul procesului de criptare a datelor. Virusul cere de obicei 300 de dolari, deși crește prețul răscumpărării la 600 de dolari dacă victima nu plătește banii în trei zile.
Virusul ransomware WannaDecrypt0r. WannaDecrypt0r este un program pe care virusul îl rulează după ce s-a infiltrat cu succes în sistemul țintă. Cercetătorii au observat deja că versiunile Wanna Decryptor 1.0 și Wanna Decryptor 2.0 se apropie de victime.
Malware-ul afișează un ceas de numărătoare inversă care arată cât timp a mai rămas pentru a plăti răscumpărarea înainte ca prețul acesteia să atingă valoarea maximă, precum și un ceas de numărătoare inversă identică care arată cât timp a mai rămas până când virusul șterge toate datele de pe un computer. Această versiune a șocat comunitatea virtuală pe 12 mai 2017, deși câteva zile mai târziu a fost oprită de un cercetător în securitate care poartă numele de MalwareTech.
Noul virus de criptare WannaCry sau WanaDecryptor 2.0, care lasă fișiere criptate .wncry în loc de datele utilizatorului, zguduie Internetul. Sute de mii de computere și laptopuri din întreaga lume sunt afectate. Nu doar utilizatorii obișnuiți au fost afectați, ci și rețelele unor companii atât de mari precum Sberbank, Rostelecom, Beeline, Megafon, Căile Ferate Ruse și chiar Ministerul Afacerilor Interne din Rusia.
O astfel de răspândire pe scară largă a virusului ransomware a fost asigurată prin utilizarea unor noi vulnerabilități în sistemele de operare Windows, care au fost declasificate în documentele serviciilor de informații din SUA.
WanaDecryptor, Wanna Cry, WanaCrypt sau Wana Decryptor - care nume este corect?
La momentul în care a început atacul viral asupra rețelei globale, nimeni nu știa exact cum se numește noua infecție. La început au sunat-o Wana Decrypt0r după numele ferestrei de mesaj care a apărut pe desktop. Ceva mai târziu, a apărut o nouă modificare a criptorului - Vrei Decrypt0r 2.0. Dar din nou, aceasta este o fereastră de ransomware care vinde utilizatorului o cheie de decriptare, care teoretic ar trebui să vină victimei după ce aceasta transferă suma necesară escrocilor. Virusul în sine, după cum se dovedește, este numit Vreau să plâng(Marginea băii).
Puteți găsi în continuare diferite nume ale acestuia pe Internet. Mai mult, utilizatorii pun adesea numărul „0” în loc de litera „o” și invers. Diverse manipulări cu spații provoacă, de asemenea, o mare confuzie, de exemplu WanaDecryptor și Wana Decryptor sau WannaCry și Wanna Cry.
Cum funcționează WanaDecryptor
Principiul de funcționare al acestui ransomware este fundamental diferit de virușii ransomware anteriori pe care i-am întâlnit. Anterior, pentru ca o infecție să înceapă să funcționeze pe un computer, trebuia mai întâi lansată. Adică, utilizatorul cu urechi lungi a primit o scrisoare prin poștă cu un atașament viclean - un script mascandu-se ca un fel de document. Persoana a lansat fișierul executabil și, prin urmare, a activat infecția sistemului de operare. Virusul Bath Edge funcționează diferit. Nu trebuie să încerce să înșele utilizatorul, este suficient să aibă acces la vulnerabilitatea critică a serviciului de partajare a fișierelor SMBv1 folosind portul 445. Apropo, această vulnerabilitate a devenit disponibilă datorită informațiilor din arhivele agențiilor de informații americane publicate pe site-ul wikileaks.
Odată ajuns pe computerul victimei, WannaCrypt începe să cripteze fișierele în masă folosind algoritmul său foarte puternic. Următoarele formate sunt afectate în principal:
cheie, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, borcan, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, brut, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, gudron, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, oală, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
Extensia fișierului criptat se schimbă în .wncry. Virusul ransomware poate adăuga încă două fișiere în fiecare folder. Prima este o instrucțiune care descrie cum să decriptați fișierul wncry Please_Read_Me.txt, iar a doua este aplicația de decriptare WanaDecryptor.exe.
Acest lucru urât funcționează liniștit și pașnic până când afectează întregul hard disk, după care afișează o fereastră WanaDecrypt0r 2.0 care cere bani. Dacă utilizatorul nu i-a permis să se termine și antivirusul a reușit să elimine programul cryptor, pe desktop va apărea următorul mesaj:
Adică, utilizatorul este avertizat că unele dintre fișierele sale au fost deja afectate și dacă doriți să le recuperați, returnați criptorul înapoi. Da, acum! Nu faceți acest lucru în nicio circumstanță, altfel veți pierde restul. Atenţie! Nimeni nu știe cum să decripteze fișierele WNCRY. Pa. Poate că un fel de instrument de decriptare va apărea mai târziu - vom aștepta și vom vedea.
Protecție împotriva virusului Wanna Cry
În general, patch-ul Microsoft MS17-010 pentru protecție împotriva ransomware-ului Wanna Decryptor a fost lansat pe 12 mai, iar dacă serviciul Windows Update funcționează normal pe computer, atunci
Cel mai probabil sistemul de operare este deja protejat. În caz contrar, trebuie să descărcați acest patch Microsoft pentru versiunea dvs. de Windows și să îl instalați urgent.
Apoi, este recomandabil să dezactivați complet suportul SMBv1. Cel puțin până când valul epidemiei se va calma și situația se va calma. Acest lucru se poate face fie din linia de comandă cu drepturi de administrator, introducând comanda:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Ca aceasta:
Sau prin panoul de control Windows. Acolo trebuie să mergeți la secțiunea „Programe și caracteristici”, selectați „Activați sau dezactivați funcțiile Windows” din meniu. Va apărea o fereastră:
Găsiți elementul „Suport pentru partajarea fișierelor SMB 1.0/CIFS”, debifați-l și faceți clic pe „OK”.
Dacă brusc apar probleme cu dezactivarea suportului SMBv1, atunci pentru a vă proteja împotriva Wanacrypt0r 2.0 puteți lua o altă cale. Creați o regulă în firewall-ul utilizat pe sistem care blochează porturile 135 și 445. Pentru firewall-ul standard Windows, introduceți următoarele la linia de comandă:
netsh advfirewall firewall add rule dir=în acțiune=block protocol=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=TCP localport=445 name=»Close_TCP-445″
O altă opțiune este să utilizați o aplicație specială gratuită Windows Worms Doors Cleaner:
Nu necesită instalare și vă permite să închideți cu ușurință golurile din sistem prin care un virus de criptare poate intra în el.
Și, desigur, nu putem uita de protecția antivirus. Utilizați numai produse antivirus dovedite - DrWeb, Kaspersky Internet Security, E-SET Nod32. Dacă aveți deja instalat un antivirus, asigurați-vă că îi actualizați baza de date:
În sfârșit, vă dau un mic sfat. Dacă aveți date foarte importante care este extrem de nedorit să le pierdeți, salvați-le pe un hard disk amovibil și puneți-le într-un dulap. Cel puțin pe durata epidemiei. Acesta este singurul mod de a le garanta cumva siguranța, pentru că nimeni nu știe care va fi următoarea modificare.
