Recent, a fost descoperit Internet Security Center 360 noul fel un virus ransomware care vizează atât companiile, cât și persoanele fizice din multe țări și regiuni. 360 a emis un avertisment în timp util de urgență 12 mai după descoperire pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware se răspândește din viteza mare La nivel mondial. Potrivit unor statistici incomplete, în doar câteva ore de la explozie, zeci de mii de dispozitive din 99 de țări au fost infectate, iar acest vierme de rețea încă încearcă să-și extindă influența.
De obicei, un virus ransomware este un malware cu intenția clară de extorcare. Criptează fișierele victimei folosind un algoritm criptografic asimetric, le face inaccesibile și solicită o răscumpărare pentru decriptarea lor. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue” care a fost furat de la NSA. Acest lucru explică și de ce WanaCrypt0r este capabil să se răspândească rapid în întreaga lume și să provoace pierderi mari într-un timp foarte scurt. După descoperirea rețelei Worms pe 12 mai, departamentul Securitate de bază la Internet Security Center 360 a monitorizat atent și scanare amanuntita... Acum putem lansa o suită de soluții de detectare, protecție și recuperare a datelor împotriva WanaCrypt0r.
360 Helios Team este o echipă APT (Advanced Persistent Attack) dedicată cercetării și analizei departamentului Core Security, dedicată în principal investigației atacurilor APT și răspunsului la incidente de amenințare. Cercetătorii de securitate au analizat cu atenție motorul de virus pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 ar putea deveni primul furnizor de securitate care a lansat un instrument de recuperare a datelor - „360 Ransomware Infected Recuperarea fisierului„Pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și o discuție mai amplă despre problema recuperării fișierelor criptate.
Capitolul 2 Analiza proceselor de criptare de bază
Acest vierme emite un modul de criptare în memorie și încarcă direct DLL-urile în memorie. DLL-ul exportă apoi funcția TaskStart, care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează dinamic Sistemul de fișiereși Funcții API legate de criptare pentru a evita detectarea statică.
1. Etapa inițială
Mai întâi folosește „SHGetFolderPathW” pentru a obține căile către desktop și folderele de fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele separat.
Trece prin toate discurile de două ori de la driverul Z la C. Prima scanare - rulați toate unități locale(excluzând driver-CD). A doua scanare verifică toate unitățile mobile și apelează funcția EncrytFolder pentru a cripta fișierele.
2.File travers
Funcția EncryptFolder este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:
Eliminați căile sau folderele de fișiere în timpul procesului încrucișat:
Există dosar interesant cu numele „Acest folder protejează împotriva ransomware-ului. Schimbarea acestuia va reduce protecția.” Când faceți acest lucru, veți descoperi că corespunde folderului de protecție al software-ului de protecție împotriva ransomware.
Când accesează cu crawlere fișiere, ransomware-ul colectează informații despre un fișier, cum ar fi dimensiunea fișierului, apoi clasifică fișierele în diferite tipuri în funcție de extensia lor, urmând anumite reguli:
Lista tipurilor de extensii 1:
Lista tipurilor de extensii 2:
3.Prioritate de criptare
Pentru a cripta fișiere importante cât mai repede posibil, WanaCrypt0r a conceput o coadă de priorități complexă:
Coada de prioritate:
I. Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3, care se potrivesc și cu lista de extensii 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați alte fișiere (mai puțin de 0x400) și alte fișiere.
4 logica de criptare
Întregul proces de criptare este finalizat folosind atât RSA, cât și AES. Deși în proces Criptare RSA utilizat de Microsoft CryptAPI, codul AES este compilat static în DLL. Procesul de criptare este prezentat în figura de mai jos:
Lista cheilor folosite:
Format de fișier după criptare:
Vă rugăm să rețineți că în timpul procesului de criptare, virusul ransomware va apărea la întâmplare selectați unele fișiere pentru criptare folosind sistemul încorporat cheie publică RSA va oferi mai multe fișiere pe care victimele le pot decripta gratuit.
Mod de a fișiere gratuite poate fi găsit în fișierul „f.wnry”.
5 completarea numerelor aleatorii
Odată criptat, WanaCrypt0r va popula fișierele pe care le consideră importante numere aleatorii până când acesta corupe complet fișierul și apoi mutați fișierele într-un director de fișiere temporar pentru ștergere. Procedând astfel, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișiere. În același timp, poate accelera procesul de criptare.
Fișierele completate trebuie să îndeplinească următoarele cerințe:
- V directorul specificat(desktop, documentul meu, folderul utilizator)
- Fișier mai mic de 200 MB
- Extensia de fișier se află în lista de tipuri de extensii 1
Logica de completare a fișierelor:
- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatorii de aceeași lungime
- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii
- Mutați indicatorul fișierului la antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatorii până la sfârșit.
6.Ștergerea fișierelor
WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar și apoi îl va șterge în diferite moduri.
Când parcurge unitățile pentru a cripta fișierele, va crea un fișier temporar numit „$ RECYCLE + auto increment + .WNCYRT” (de exemplu: „D: \ $ RECYCLE \ 1.WNCRYT”) pe unitatea curentă. Mai ales dacă discul curent este sistem (cum ar fi driver-C), va folosi directorul temp al sistemului.
Ulterior, procesul pornește taskdl.exe și se elimină fișiere temporare cu un interval de timp fix.
Capitolul 3 Recuperarea datelor
Analizând logica execuției sale, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structurile de fișiere și a preveni recuperarea acestora. Dar această operațiune este acceptată doar pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, ceea ce lasă loc pentru recuperarea fișierelor.
În timpul procesului de ștergere, viermele s-a mișcat fișiere sursăîn folderul cu fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în bloc. În timpul procesului de mai sus, este posibil ca fișierele originale să se fi schimbat, dar cele curente software Piața de recuperare a datelor nu este conștientă de acest lucru, așa că destul de multe fișiere nu pot fi recuperate cu succes. Nevoia de fișiere pentru a recupera victimele nu este aproape niciodată satisfăcută.
Pentru alte fișiere, viermele a executat pur și simplu comanda „mutare și ștergere”. Deoarece procesele de ștergere a fișierelor și mutarea fișierelor sunt separate, cele două fire de execuție vor concura între ele, ceea ce poate cauza eșecuri de mutare a fișierelor din cauza diferențelor din mediul de sistem al utilizatorului. Ca rezultat, fișierul va fi șters direct în locația sa curentă. În acest caz, există Șansă mare că fișierul poate fi recuperat.
https://360totalsecurity.com/s/ransomrecovery/
Folosind metodele noastre de recuperare, un procent mare de fișiere criptate poate fi recuperat perfect. Acum versiune actualizata Instrumentul de recuperare a fișierelor 360 a fost dezvoltat ca răspuns la această nevoie de a ajuta zeci de mii de victime să atenueze pierderile și impactul.
14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere din ransomware. Acest o noua versiune a făcut un alt pas în exploatarea vulnerabilităților logice WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișierele recuperabile gratuite și fișierele decriptate pentru clienți. Acest serviciu de recuperare unic poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.
Capitolul 4 Concluzie
Focar masiv și răspândire a viermilor WannaCry prin utilizarea MS17-010, ceea ce îl face capabil de auto-replicare și răspândire activă, în plus față de funcțiile unui ransomware obișnuit. În afară de sarcina utilă a atacului, structura tehnica virusul ransomware joacă cel mai mult rol importantîn atacuri.Virusul ransomware criptează cheia AES folosind un algoritm criptografic asimetric RSA-2048. Apoi fiecare fișier este criptat folosind un algoritm aleatoriu AES-128 criptare simetrică... Aceasta înseamnă, bazându-vă pe calculele și metodele existente, să decriptați RSA-2048 și AES-128 fără nicio deschidere sau chei private aproape imposibil. Cu toate acestea, autorii lasă unele bug-uri în procesul de criptare, ceea ce oferă și mărește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.
De asemenea, din moment ce banii de răscumpărare sunt plătiți în bitcoini anonimi, pentru care oricine poate obține o adresă fără certificare autentică, este imposibil să identifici un atacator după adrese, cu atât mai puțin între diferite conturi ale aceleiași adrese de proprietar. Prin urmare, datorită adoptării unui algoritm de criptare care nu poate fi spart și a bitcoinilor anonimi, este foarte probabil ca acest tip de focar profitabil de ransomware să continue mult timp. Toată lumea ar trebui să fie atentă.
Echipa 360 Helios
360 Helios Team este o echipă de cercetare APT (Advanced Persistent Attack) de la Qihoo 360.
Echipa este dedicată investigării atacurilor APT, răspunsului la incidente de amenințări și investigării lanțurilor industriale ale economiei subterane.
De la înființarea sa în decembrie 2014, echipa s-a integrat cu succes bază imensă data 360 și a creat o procedură rapidă de inversare și corelare. Până în prezent, au fost descoperite și identificate mai mult de 30 de grupuri APT și economie subterană.
360 Helios oferă, de asemenea, soluții de evaluare a amenințărilor și de răspuns la amenințări pentru întreprinderi.
Rapoarte publice
a lua legatura
E-mail Poștă: [email protected]
Grup WeChat: 360 Helios Team
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!
Virus nou WannaCry ransomware sau WanaDecryptor 2.0, care lasă fișiere criptate .wncry în loc de datele utilizatorului, zguduie Internetul. Sute de mii de computere și laptopuri din întreaga lume sunt afectate. A suferit nu numai utilizatori obișnuiți dar reţele de asemenea companii mari precum Sberbank, Rostelecom, Beeline, Megafon, Căile Ferate Ruse și chiar Ministerul Afacerilor Interne al Rusiei.
O astfel de răspândire masivă a virusului ransomware a fost asigurată prin utilizarea unor noi vulnerabilități în sistemele de operare. Familia Windows, care au fost desecretizate cu documentele serviciilor de informații americane.
WanaDecryptor, Wanna Cry, WanaCrypt sau Wana Decryptor - care nume este corect?
Pe vremea când a început atac de virus pe internetul global, nimeni nu știa încă exact cum se numea noua infecție. La început a fost chemată Vreau să decrypt0r după numele ferestrei de mesaj care a apărut pe desktop. Puțin mai târziu, a apărut o nouă modificare a ransomware-ului - Vrei Decrypt0r 2.0... Dar din nou, aceasta este o fereastră ransomware care vinde de fapt o cheie de decriptare utilizatorului, care teoretic ar trebui să vină victimei după ce aceasta transferă suma necesară fraudătorilor. Virusul în sine, după cum sa dovedit, este numit Vreau să plâng(Marginea băii).
Pe Internet, puteți găsi în continuare diferite nume. Și adesea utilizatorii în loc de litera „o” pun numărul „0” și invers. Diverse manipulări cu spații, de exemplu, WanaDecryptor și Wana Decryptor, sau WannaCry și Wanna Cry, introduc, de asemenea, multă confuzie.
Cum funcționează ransomware-ul WanaDecryptor
Principiul de funcționare al acestui ransomware este fundamental diferit de virușii anteriori ransomware pe care i-am întâlnit. Dacă mai devreme, pentru ca infecția să înceapă să funcționeze pe computer, era necesar să o porniți mai întâi. Adică, un utilizator cu urechi a primit o scrisoare prin poștă cu un atașament viclean - un scenariu deghizat în document. Omul a lansat fisier executabilși astfel a activat infecția sistemului de operare. Virusul Bath Edge funcționează într-un mod diferit. Nu trebuie să încerce să înșele utilizatorul, este suficient ca acesta să aibă acces vulnerabilitate critică Serviciu de partajare a fișierelor SMBv1 folosind portul 445. Apropo, această vulnerabilitate a devenit disponibilă datorită informațiilor din arhivele serviciilor speciale americane publicate pe site-ul wikileaks.
Odată ajuns pe computerul victimei, WannaCrypt începe să cripteze masiv fișierele cu algoritmul său foarte puternic. Următoarele formate sunt în principal afectate:
cheie, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, borcan, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, brut, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, gudron, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, oală, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
Extensia fișierului criptat se schimbă în .wncry... Virusul ransomware poate adăuga încă două fișiere în fiecare folder. Prima este o instrucțiune care descrie cum să decriptați fișierul Please_Read_Me.txt wncry, iar a doua este aplicația de decriptare WanaDecryptor.exe.
Acest truc murdar funcționează în liniște până când lovește toate dure disc, după care va afișa o fereastră WanaDecrypt0r 2.0 cu o solicitare de a da bani. Dacă utilizatorul nu l-a lăsat să-l termine până la capăt și antivirusul a reușit să elimine programul criptor, pe desktop va apărea următorul mesaj:
Adică, utilizatorul este avertizat că unele dintre fișierele sale sunt deja infectate și dacă doriți să le recuperați, returnați criptorul înapoi. Aha, acum! Nu faceți niciodată asta, altfel veți pierde restul. Atenţie! Nimeni nu știe cum să decripteze fișierele WNCRY. Până. Poate că unele mijloace de decriptare vor apărea mai târziu - vom aștepta și vom vedea.
Wanna Cry Virus Protection
În general, corecția Microsoft MS17-010 pentru a proteja împotriva ransomware-ului Wanna Decryptor a fost lansat pe 12 mai și dacă serviciul de pe computerul dvs. actualizări de Windows merge bine atunci
sistemul de operare este cel mai probabil deja protejat. În caz contrar, trebuie să descărcați acest patch Microsoft pentru dvs versiuni Windows si instalati-l urgent.
Apoi, este recomandabil să dezactivați complet suportul SMBv1. Cel puțin până când valul epidemiei se va calma și situația se va calma. Acest lucru se poate face fie din linia de comandă cu drepturi de administrator introducând comanda:
dism / online / norestart / dezactivare-funcție / nume caracteristică: SMB1Protocol
În acest fel:
Fie prin panou Gestionare Windows... Acolo trebuie să accesați secțiunea „Programe și caracteristici”, selectați „Activați sau dezactivați Componentele Windows". Va apărea o fereastră:
Găsim elementul „Suport pentru partajarea fișierelor SMB 1.0 / CIFS”, debifați-l și faceți clic pe „OK”.
Dacă brusc apar probleme cu dezactivarea suportului SMBv1, atunci pentru a vă proteja împotriva Wanacrypt0r 2.0, puteți merge în altă direcție. Creați o regulă în firewall-ul folosit în sistem care blochează porturile 135 și 445. Pentru standard Firewall Windows trebuie să intri Linie de comanda ca urmare a:
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = TCP localport = 135 nume = "Close_TCP-135"
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = TCP localport = 445 nume = „Închide_TCP-445”
O altă opțiune este să folosești un gratuit special aplicație Windows Detergent pentru uși Worms:
Nu necesită instalare și vă permite să închideți cu ușurință golurile din sistem prin care un virus de criptare poate intra cu crawlere în el.
Și, desigur, nu trebuie să uităm protectie antivirus... Utilizați numai dovedit produse antivirus- DrWeb, Kaspersky Internet Securitate, E-SET Nod32. Dacă aveți deja instalat un antivirus, asigurați-vă că îi actualizați bazele de date:
În cele din urmă, voi da mic sfat... Dacă aveți date foarte importante pe care nu este de dorit să le pierdeți - salvați-le în greu detasabil disc și puneți-l în dulap. Cel puțin pe durata epidemiei. Acesta este singurul mod de a le garanta cumva siguranța, pentru că nimeni nu știe care va fi următoarea modificare.
Dacă apare computerul mesaj text, în care scrie că fișierele tale sunt criptate, atunci nu te grăbi să intri în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită este schimbată în * .vault, * .xtbl, * [email protected] _XO101 etc. Nu puteți deschide fișierele - aveți nevoie de o cheie, care poate fi achiziționată trimițând o scrisoare la adresa indicată în mesaj.
De unde ai luat fișierele criptate?
Computerul a prins un virus care a blocat accesul la informații. Antivirusurile le omit adesea, deoarece acest program se bazează de obicei pe un fel de inofensiv utilitate gratuită criptare. Puteți elimina virusul în sine suficient de rapid, dar pot apărea probleme serioase la decriptarea informațiilor.
Suportul tehnic al Kaspersky Lab, Dr.Web și al altor companii cunoscute implicate în dezvoltarea de software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, informează că este imposibil să se facă acest lucru într-un timp rezonabil. Există mai multe programe care pot prelua codul, dar știu doar cum să lucreze cu viruși studiați anterior. Daca te confrunti cu noua modificare, atunci șansele restabilirii accesului la informație sunt extrem de mici.
Cum ajunge un virus ransomware la un computer?
În 90% din cazuri, utilizatorii înșiși activează virusul pe computer. deschizând scrisori necunoscute. După aceea, pe e-mail vine un mesaj cu o temă provocatoare - „Convocarea în instanță”, „Arierate la împrumut”, „Aviz de la fisc”, etc. Există un atașament în interiorul e-mailului fals, după descărcare, pe care ransomware-ul ajunge pe computer și începe treptat să blocheze accesul la fișiere.
Criptarea nu este instantanee, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky securitatea internetuluiși Malwarebytes Antimalware.
Metode de recuperare a fișierelor
Dacă protecția sistemului a fost activată pe computer, atunci chiar și după acțiunea virusului ransomware, există șanse de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. De obicei, criptografii încearcă să le elimine, dar uneori eșuează din cauza lipsei privilegiilor de administrator.
Restaurați o versiune anterioară:
Pentru ca versiunile anterioare să fie păstrate, trebuie să activați protecția sistemului.
Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după aceea nu va mai ajuta.
- Deschideți proprietățile „Computer”.
- Din meniul din stânga, selectați „Protecție sistem”.
- Evidențiați unitatea C și faceți clic pe Configurare.
- Selectați restabiliți setările și Versiunile anterioare fișiere. Aplicați modificările făcând clic pe „Ok”.
Dacă ați luat aceste măsuri înainte de apariția unui virus care criptează fișierele, atunci după curățarea computerului de cod rău intenționat veți avea șanse mari să recuperați informații.
Folosind utilități speciale
Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor care merită încercat este Kaspersky RectorDecryptor.
- Descărcați aplicația de pe site-ul oficial Kaspersky Lab.
- Apoi rulați utilitarul și faceți clic pe „Start check”. Specificați calea către orice fișier criptat.
Dacă malware-ul nu a schimbat extensia fișierelor, atunci pentru a le decripta, trebuie să le colectați folder separat... Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor. 
Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe internetul rusesc, dar poate înlocui în curând și alți troieni.
Cel mai puternic atac al virusului Wana Decryptor a început ieri, pe 12 mai 2017, mii de computere au fost afectate în întreaga lume. În doar câteva ore, au fost 45.000 de computere infectate în lume, iar acest număr a crescut în fiecare minut.
Cea mai afectată țară s-a dovedit a fi Rusia, până astăzi atacul virusului continuă și acum hackerii încearcă să preia sectorul bancar. Ieri, principalul atac a lovit computerele utilizatorilor obișnuiți și rețeaua Ministerului de Interne rus.
Programul criptează accesul la diverse fișiere pe computerul tău și se oferă să le accesezi numai după ce ai plătit cu bitcoins. În acest fel, hackerii pot câștiga milioane de dolari. Nu este încă posibil să decriptați fișierele WNCRY, dar puteți recupera fișierele criptate folosind programele ShadowExplorer și PhotoRec, dar nimeni nu poate oferi garanții.
Acest virus ransomware este adesea numit Wana Decryptor, cu toate acestea, are și alte nume WanaCrypt0r, Wanna Cry sau Wana Decrypt0r. Înainte de aceasta, virusul principal avea un ransomware fratele mai mic Wanna Cry și WanaCrypt0r. Mai târziu, numărul „0” a fost înlocuit cu litera „o”, iar virusul principal a devenit cunoscut sub numele de Wana Decrypt0r.
La sfârșit, virusul adaugă extensia WNCRY fișierului criptat, uneori este numit prin această abreviere.
Cum infectează Wana Decryptor un computer?
Calculatoare pentru sala de operatie sisteme Windows au o vulnerabilitate în serviciul SMB. Această gaură are în toate sistem de operare Versiunea Windows 7 la Windows 10. În martie, corporația a lansat actualizarea de corecție „MS17-010: Actualizare de securitate pentru Windows SMB Server”, cu toate acestea, numărul de computere infectate arată că mulți au ignorat această actualizare.
La sfârșitul activității sale, virusul Wana Decryptor va încerca să ștergă toate copiile fișierelor și alte compartimente de sistem, astfel încât, dacă se întâmplă ceva, nu poate fi restaurat. Pentru a face acest lucru, va cere utilizatorului drepturi de administrator, sistemul de operare Windows va afișa un avertisment de la serviciul UAC. Dacă utilizatorul refuză să ofere drepturi depline, apoi copii ale fișierelor vor rămâne pe computer și utilizatorul le va putea restaura absolut gratuit.
Cum să recuperați fișierele criptate de Wana Decryptor și să vă protejați computerul?
Singura modalitate de a recupera fișierele care au fost criptate de un virus este utilizarea programelor ShadowExplorer și PhotoRec. Pentru informații despre cum să recuperați fișierele criptate, consultați manualul acestor programe.
Pentru a preveni infectarea computerului cu virusul ransomware WNCRY, trebuie să închideți toate vulnerabilitățile din sistem. Pentru a face acest lucru, descărcați actualizarea MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.
În plus, nu uitați să instalați un antivirus pe computer. Zemana Anti-malware sau Malwarebytes, plătit versiunea completa vor bloca lansarea virușilor ransomware.
WannaCry Decryptor ( sau WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), este deja numit „virusul anului 2017”. Și nu este deloc nerezonabil. Doar în primele 24 de ore după începerea distribuției sale - dat ransomware a lovit peste 45.000 de computere. Unii cercetători cred că pe acest moment(15 mai) peste un milion de computere și servere au fost deja infectate. Ca o reamintire, virusul a început să se răspândească pe 12 mai. Utilizatorii din Rusia, Ucraina, India și Taiwan au fost primii care au avut de suferit. În acest moment, virusul se răspândește cu o viteză mare în Europa, Statele Unite și China.
Informațiile au fost criptate pe computerele și serverele agențiilor guvernamentale (în special, Ministerul Afacerilor Interne al Rusiei), spitale, corporații transnaționale, universități și școli.
Wana Decryptor (Wanna Cry sau Wana Decrypt0r) a paralizat activitatea a sute de companii și agenții guvernamentale din întreaga lume
De fapt, WinCry (WannaCry) este un exploit al familiei EternalBlue, care exploatează o vulnerabilitate destul de veche a sistemului de operare Windows (Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10) și se încarcă singur în sistem în modul „liniștit”. Apoi, folosind algoritmi rezistenți la decriptare, criptează datele utilizatorului (documente, fotografii, videoclipuri, foi de calcul, baza de date) și solicită o răscumpărare pentru decriptarea datelor. Schema nu este nouă, scriem în mod constant despre noi tipuri de ransomware de criptare a fișierelor - dar metoda de distribuție este nouă. Și asta a dus la o epidemie.
Simptome:
După instalarea cu succes pe computerul utilizatorului, WannaCry încearcă să se răspândească în rețeaua locală la alte PC-uri ca un vierme. Fișierele criptate primesc extensia de sistem .WCRY și devin complet ilizibile și nu pot fi decriptate singur. După criptare completă Wcry schimbă imaginea de fundal de pe desktop și lasă „instrucțiuni” pentru decriptarea fișierelor din foldere criptate.
La început, hackerii au extorcat 300 de dolari pentru cheile de decriptare, dar apoi au ridicat această cifră la 600 de dolari.
Cum să împiedicați WannaCry Decryptor să vă infecteze computerul?
Descărcați actualizarea sistemului de operare de pe site-ul web Microsoft.
Ce să faci dacă computerul tău este infectat?
Utilizați instrucțiunile de mai jos pentru a încerca să recuperați cel puțin o parte din informațiile de pe computerul infectat. Actualizați-vă antivirusul și instalați patch-ul sistemului de operare. Un decriptor pentru acest virus nu există încă în natură. Vă sfătuim cu tărie să nu plătiți o răscumpărare infractorilor cibernetici - nu există nicio garanție, chiar și cea mai mică, că aceștia vă vor decripta datele după ce au primit o răscumpărare.
Eliminați ransomware-ul WannaCry cu un agent de curățare automat
Exclusiv metoda eficienta lucrul cu malware în general și ransomware în special. Utilizarea unui complex de protecție bine dovedit garantează minuțiozitatea detectării oricăror componente virale, îndepărtarea completă cu un singur clic. Notă, este vorba despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer cu ajutorul acestuia.
- ... După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea). ...
- Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările găsite, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.
Restabiliți accesul la fișierele criptate
După cum sa menționat, ransomware-ul no_more_ransom blochează fișierele cu un algoritm de criptare puternic, astfel încât datele criptate nu pot fi reluate cu un val de baghetă magică - cu excepția cazului în care țineți cont de plata nemaiauzită a răscumpărării. Dar unele metode pot deveni cu adevărat o salvare care vă va ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.
Program recuperare automată fișiere (decodor)
Se cunoaște o împrejurare foarte extraordinară. Această infecție șterge fișierele originale necriptate. Procesul de criptare ransomware vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software cum se recuperează obiectele șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor, eficacitatea acesteia este fără îndoială. 
Copii umbra de volum
Abordarea se bazează pe Procedura Windows Rezervă copie fișiere, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor fi afișate în versiunea restaurată a fișierului.
Backup
Aceasta este cea mai bună dintre toate metodele de non-răscumpărare. Dacă procedura de salvare a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate, trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.
Verificați posibilele componente reziduale ale ransomware-ului WannaCry
Curatenie in mod manual este plin de omiterea anumitor fragmente de ransomware care pot evita ștergerea sub formă de obiecte ascunse ale sistemului de operare sau intrări de registry. Pentru a elimina riscul salvării parțiale a anumitor elemente rău intenționate, scanați-vă computerul folosind o securitate de încredere pachete software specializat în programe malware.
