Kohët e fundit u zbulua Qendra e Sigurisë së Internetit 360 lloji i ri një virus ransomware që synon si bizneset ashtu edhe individët në shumë vende dhe rajone. 360 lëshoi një paralajmërim në kohë emergjente 12 maj pas zbulimit për të kujtuar përdoruesit për rreziqet e ardhshme. Ky ransomware përhapet nga shpejtësi e lartë Botëror. Sipas statistikave jo të plota, në vetëm pak orë pas shpërthimit, dhjetëra mijëra pajisje në 99 vende u infektuan dhe ky krimb i rrjetit po përpiqet ende të zgjerojë ndikimin e tij.
Në mënyrë tipike, një virus ransomware është malware me qëllimin e qartë të zhvatjes. Ai kodon skedarët e viktimës duke përdorur një algoritëm kriptografik asimetrik, i bën ato të paarritshme dhe kërkon një shpërblim për deshifrimin e tyre. Nëse shpërblimi nuk paguhet, skedarët nuk mund të rikuperohen. Kjo specie e re është koduar me emrin WanaCrypt0r. Ajo që e bën atë kaq vdekjeprurës është se ai përdori mjetin haker "EternalBLue" që ishte vjedhur nga NSA. Kjo shpjegon edhe pse WanaCrypt0r është në gjendje të përhapet me shpejtësi në mbarë botën dhe të shkaktojë humbje të mëdha në një kohë shumë të shkurtër. Pas zbulimit të rrjetit Worms më 12 maj, departamenti Siguria kryesore në Internet Security Center 360 ka monitoruar tërësisht dhe Skanim i thellë... Tani mund të lëshojmë një grup zgjidhjesh zbulimi, mbrojtjeje dhe rikuperimi të të dhënave kundër WanaCrypt0r.
Ekipi 360 Helios është një ekip APT (Advanced Persistent Attack) i përkushtuar për kërkimin dhe analizën e departamentit të Sigurisë Bërthamë, i dedikuar kryesisht hetimit të sulmit APT dhe reagimit ndaj incidentit të kërcënimit. Studiuesit e sigurisë kanë analizuar me kujdes motorin e virusit për të gjetur metodën më efikase dhe më të saktë për rikuperimin e skedarëve të koduar. Duke përdorur këtë metodë, 360 mund të bëhet shitësi i parë i sigurisë që lëshon një mjet për rikuperimin e të dhënave - "360 Ransomware Infected Rikuperimi i skedarit"Për të ndihmuar klientët e saj të rikuperojnë skedarët e infektuar shpejt dhe plotësisht. Shpresojmë që ky artikull t'ju ndihmojë të kuptoni truket e këtij krimbi, si dhe një diskutim më të gjerë të çështjes së rikuperimit të skedarëve të koduar.
Kapitulli 2 Analiza e proceseve bazë të enkriptimit
Ky krimb lëshon një modul enkriptimi në memorie dhe ngarkon direkt DLL-të në memorie. DLL më pas eksporton funksionin TaskStart, i cili duhet të përdoret për të aktivizuar të gjithë procesin e kriptimit. DLL hyn në mënyrë dinamike sistemi i skedarëve dhe Funksionet API lidhur me enkriptimin për të shmangur zbulimin statik.
1.Faza fillestare
Ai fillimisht përdor "SHGetFolderPathW" për të marrë shtigjet në desktop dhe dosjet e skedarëve. Më pas do të thërrasë funksionin "10004A40" për të marrë rrugën drejt desktopëve dhe dosjeve të skedarëve të përdoruesve të tjerë dhe do të thërrasë funksionin EncrytFolder për të enkriptuar dosjet veç e veç.
Ai kalon nëpër të gjithë disqet dy herë nga drejtuesi Z në C. Së pari skanoni - ekzekutoni të gjithë disqet lokale(me përjashtim të shoferit-CD). Skanimi i dytë kontrollon të gjithë disqet celularë dhe thërret funksionin EncrytFolder për të enkriptuar skedarët.
2.Kalimi i skedarit
Funksioni EncryptFolder është një funksion rekurziv që mund të mbledhë informacione rreth skedarëve duke ndjekur procedurën e mëposhtme:
Hiqni shtigjet ose dosjet e skedarëve gjatë procesit të kryqëzuar:
ka dosje interesante me emrin “Kjo dosje mbron kundër ransomware. Ndryshimi i tij do të reduktojë mbrojtjen." Kur ta bëni këtë, do të zbuloni se korrespondon me dosjen e mbrojtjes së softuerit të mbrojtjes së ransomware.
Kur zvarriten skedarët, ransomware mbledh informacione rreth një skedari, si p.sh. madhësia e skedarit, dhe më pas i klasifikon skedarët në lloje të ndryshme sipas shtrirjes së tyre, duke ndjekur disa rregulla:
Lista e llojeve të zgjerimit 1:
Lista e llojeve të zgjerimit 2:
3.Prioriteti i kriptimit
Për të kriptuar skedarë të rëndësishëm sa më shpejt të jetë e mundur, WanaCrypt0r krijoi një radhë komplekse prioritare:
Radha me përparësi:
I. Enkripto skedarët e tipit 2 që përputhen gjithashtu me listën shtesë 1. Nëse skedari është më i vogël se 0X400, përparësia e enkriptimit do të ulet.
II. Enkripto skedarët e tipit 3, të cilët përputhen gjithashtu me listën e zgjerimit 2. Nëse skedari është më i vogël se 0X400, përparësia e enkriptimit do të ulet.
III. Enkriptoni skedarë të tjerë (më pak se 0x400) dhe skedarë të tjerë.
4 logjika e kriptimit
I gjithë procesi i kriptimit përfundon duke përdorur RSA dhe AES. Edhe pse në proces Kriptimi RSA i përdorur nga Microsoft CryptAPI, kodi AES përpilohet në mënyrë statike në DLL. Procesi i kriptimit tregohet në figurën më poshtë:
Lista e çelësave të përdorur:
Formati i skedarit pas kriptimit:
Ju lutemi vini re se gjatë procesit të enkriptimit, virusi i ransomware do rastësisht zgjidhni disa skedarë për enkriptim duke përdorur skedarin e integruar çelës publik RSA për të ofruar skedarë të shumtë që viktimat mund t'i deshifrojnë falas.
Mënyra për të skedarë falas mund të gjendet në skedarin "f.wnry".
5 plotësimi i numrave të rastit
Pasi të kodohet, WanaCrypt0r do të mbushë skedarët me të cilët i konsideron të rëndësishëm numra të rastësishëm derisa të korruptojë plotësisht skedarin dhe më pas zhvendosini skedarët në një drejtori të përkohshme skedari për t'i fshirë. Duke bërë këtë, e bën mjaft të vështirë rikuperimin e skedarëve nga mjetet e rikuperimit të skedarëve, por në të njëjtën kohë mund të përshpejtojë procesin e enkriptimit.
Skedarët e kompletuar duhet të plotësojnë kërkesat e mëposhtme:
- V drejtoria e specifikuar(desktop, dokumenti im, dosja e përdoruesit)
- Skedari më pak se 200 MB
- Shtesa e skedarit është në listën e llojeve të shtesave 1
Logjika e mbushjes së skedarit:
- Nëse skedari është më i vogël se 0x400, ai do të mbulohet me numra të rastësishëm me të njëjtën gjatësi
- Nëse skedari është më i madh se 0x400, 0x400 e fundit do të mbulohet me numra të rastit
- Zhvendosni treguesin e skedarit në kokën e skedarit dhe vendosni 0x40000 si bllokun e të dhënave për të mbuluar skedarin me numra të rastësishëm deri në fund.
6.Fshirja e skedarëve
WanaCrypt0r fillimisht do t'i zhvendosë skedarët në një dosje të përkohshme për të krijuar një skedar të përkohshëm dhe më pas do ta fshijë atë në mënyra të ndryshme.
Kur kalon nëpër disqet për të enkriptuar skedarët, do të krijojë një skedar të përkohshëm të quajtur "$ RECYCLE + shtim automatik + .WNCYRT" (për shembull: "D: \ $ RECYCLE \ 1.WNCRYT") në diskun aktual. Sidomos nëse disku aktualështë sistemi (si shoferi-C), ai do të përdorë drejtorinë temp të sistemit.
Më pas, procesi fillon taskdl.exe dhe hiqet skedarë të përkohshëm me një interval kohor të caktuar.
Kapitulli 3 Rikuperimi i të dhënave
Gjatë analizimit të logjikës së ekzekutimit të tij, vumë re se ky Worm do të mbishkruajë skedarët që plotësojnë kërkesat e specifikuara me numra të rastësishëm ose 0x55 në mënyrë që të shkatërrojë strukturat e skedarëve dhe të parandalojë rikuperimin e tyre. Por ky operacion pranohet vetëm për skedarë të caktuar ose skedarë me një shtrirje të caktuar. Kjo do të thotë se ka ende shumë skedarë që nuk janë mbishkruar, gjë që lë hapësirë për rikuperimin e skedarëve.
Gjatë procesit të fshirjes, krimbi lëvizi skedarët burimor në dosjen e skedarëve të përkohshëm duke thirrur funksionin MoveFileEx. Përfundimisht skedarët e përkohshëm fshihen në masë. Gjatë procesit të mësipërm, skedarët origjinalë mund të kenë ndryshuar, por aktuali software Tregu i rikuperimit të të dhënave nuk është në dijeni të kësaj, kështu që mjaft skedarë nuk mund të rikuperohen me sukses. Nevoja për skedarë për të rikuperuar viktimat pothuajse kurrë nuk plotësohet.
Për skedarët e tjerë, krimbi thjesht ekzekutoi komandën "lëviz dhe fshi". Meqenëse proceset e fshirjes së skedarëve dhe zhvendosjes së skedarëve janë të ndara, të dy thread-at do të konkurrojnë me njëri-tjetrin, gjë që mund të shkaktojë dështime në lëvizjen e skedarëve për shkak të ndryshimeve në mjedisin e sistemit të përdoruesit. Si rezultat, skedari do të fshihet drejtpërdrejt në vendndodhjen e tij aktuale. Në këtë rast, ekziston Mundësi e madhe se skedari mund të rikuperohet.
https://360totalsecurity.com/s/ransomrecovery/
Duke përdorur metodat tona të rikuperimit, një përqindje e madhe e skedarëve të koduar mund të rikuperohen në mënyrë të përsosur. Tani version i përditësuar 360 File Recovery Tool u zhvillua në përgjigje të kësaj nevoje për të ndihmuar dhjetëra mijëra viktima të zbusin humbjen dhe ndikimin.
14 maj 360 është shitësi i parë i sigurisë që lëshon një mjet për rikuperimin e skedarëve që shpëtoi shumë skedarë nga ransomware. Kjo një version të ri ndërmori një hap tjetër në shfrytëzimin e dobësive logjike të WanaCrypt0r. Mund të largojë virusin për të parandaluar infeksionin e mëtejshëm. Duke përdorur algoritme të shumta, ai mund të gjejë lidhje të fshehura midis skedarëve të rikuperueshëm falas dhe skedarëve të deshifruar për klientët. Ky shërbim rikuperimi me një ndalesë mund të zvogëlojë dëmin nga një sulm ransomware dhe të mbrojë sigurinë e të dhënave të përdoruesit.
Kapitulli 4 Përfundim
Shpërthimi dhe përhapja masive e krimbave WannaCry përmes përdorimit të MS17-010, gjë që e bën atë të aftë për vetë-përsëritje dhe përhapje aktive, përveç funksioneve të një ransomware të zakonshëm. Përveç ngarkesës së sulmit, struktura teknike virusi ransomware luan më shumë rol i rendesishem në sulme Virusi ransomware kodon çelësin AES duke përdorur një algoritëm kriptografik asimetrik RSA-2048. Pastaj çdo skedar kodohet duke përdorur një algoritëm të rastësishëm AES-128 enkriptimi simetrik... Kjo do të thotë, duke u mbështetur në llogaritjet dhe metodat ekzistuese, për të deshifruar RSA-2048 dhe AES-128 pa ndonjë të hapur ose çelësat privatë pothuajse e pamundur. Sidoqoftë, autorët lënë disa gabime në procesin e kriptimit, gjë që siguron dhe rrit mundësinë e rikuperimit. Nëse veprimet kryhen mjaft shpejt, shumica e të dhënave mund të ruhen përsëri.
Gjithashtu, meqenëse paratë e shpërblesës paguhen në bitcoin anonimë, për të cilat çdokush mund të marrë një adresë pa certifikim të vërtetë, është e pamundur të identifikohet një sulmues sipas adresave, e lëre më midis llogarive të ndryshme të së njëjtës Adresa Pronari. Prandaj, për shkak të adoptimit të një algoritmi kriptimi të pathyeshëm dhe bitcoin anonimë, ka shumë të ngjarë që ky lloj shpërthimi fitimprurës ransomware të vazhdojë për një kohë të gjatë. Të gjithë duhet të kenë kujdes.
Ekipi 360 Helios
Ekipi 360 Helios është një ekip kërkimor APT (Advanced Persistent Attack) në Qihoo 360.
Ekipi është i përkushtuar për të hetuar sulmet APT, për t'iu përgjigjur incidenteve të kërcënimit dhe për të hetuar zinxhirët industrialë të ekonomisë së nëndheshme.
Që nga fillimi i tij në dhjetor 2014, ekipi është integruar me sukses bazë e madhe të dhënat 360 dhe krijoi një procedurë të shpejtë kthimi dhe korrelacioni. Deri më sot, janë zbuluar dhe identifikuar më shumë se 30 APT dhe grupe të ekonomisë nëntokësore.
360 Helios gjithashtu ofron zgjidhje për vlerësimin e kërcënimit dhe përgjigjen ndaj kërcënimit për ndërmarrjet.
Raportet publike
Kontaktoni
Email Posta: [email i mbrojtur]
Grupi WeChat: 360 Helios Team
Ju lutemi shkarkoni kodin QR më poshtë për të na ndjekur në WeChat!
Virus i ri ransomware WannaCry ose WanaDecryptor 2.0, i cili lë skedarë të koduar .wncry në vend të të dhënave të përdoruesit, po trondit internetin. Qindra mijëra kompjuterë dhe laptopë në mbarë botën janë prekur. Vuajti jo vetëm përdoruesit e zakonshëm por rrjete të tilla kompanitë e mëdha si Sberbank, Rostelecom, Beeline, Megafon, Hekurudhat Ruse dhe madje edhe Ministria e Punëve të Brendshme të Rusisë.
Një përhapje kaq masive e virusit ransomware u sigurua nga përdorimi i dobësive të reja në sistemet operative. Familja e Windows, të cilat ishin deklasifikuar me dokumentet e shërbimeve të inteligjencës amerikane.
WanaDecryptor, Wanna Cry, WanaCrypt ose Wana Decryptor - cili emër është i saktë?
Në kohën kur filloi sulmi i virusit në rrjetin global, askush nuk e dinte ende saktësisht se si quhej infeksioni i ri. Në fillim ajo u thirr Wana decrypt0r me emrin e dritares së mesazhit që u shfaq në desktop. Pak më vonë, u shfaq një modifikim i ri i ransomware - Dëshironi të decrypt0r 2.0... Por përsëri, kjo është një dritare ransomware që në fakt i shet përdoruesit një çelës dekriptuesi, i cili teorikisht duhet t'i vijë viktimës pasi ai të transferojë shumën e kërkuar te mashtruesit. Vetë virusi, siç doli, quhet Dëshiron të qaj(Buza e banjës).
Në internet mund të gjeni ende emra të ndryshëm. Dhe shpesh përdoruesit në vend të shkronjës "o" vendosin numrin "0" dhe anasjelltas. Manipulime të ndryshme me hapësira, për shembull, WanaDecryptor dhe Wana Decryptor, ose WannaCry dhe Wanna Cry, gjithashtu sjellin shumë konfuzion.
Si funksionon ransomware WanaDecryptor
Parimi i funksionimit të këtij ransomware është thelbësisht i ndryshëm nga viruset e mëparshëm ransomware që kemi hasur. Nëse më herët, në mënyrë që infeksioni të fillonte të punonte në kompjuter, ishte e nevojshme ta filloni atë së pari. Kjo do të thotë, një përdorues me vesh mori një letër me postë me një shtojcë dinake - një skenar i maskuar si një dokument. Njeriu i nisur skedari i ekzekutueshëm dhe kështu aktivizoi infeksionin e OS. Virusi Bath Edge funksionon në një mënyrë tjetër. Ai nuk ka nevojë të përpiqet të mashtrojë përdoruesin, mjafton që ai të ketë akses cenueshmëria kritike Shërbimi i ndarjes së skedarëve SMBv1 duke përdorur portën 445. Nga rruga, kjo dobësi u bë e disponueshme falë informacionit nga arkivat e shërbimeve speciale amerikane të publikuara në faqen e internetit të Wikileaks.
Pasi të jetë në kompjuterin e viktimës, WannaCrypt fillon të enkriptojë masivisht skedarët me algoritmin e tij shumë të fortë. Formatet e mëposhtme preken kryesisht:
çelës, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, kavanoz, wav, swf fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, rezervë, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, tenxhere, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
Zgjatja e skedarit të koduar ndryshon në .qaj... Virusi ransomware mund të shtojë dy skedarë të tjerë në çdo dosje. I pari është një udhëzim që përshkruan se si të deshifroni skedarin wncry Please_Read_Me.txt dhe i dyti është aplikacioni dekriptues WanaDecryptor.exe.
Ky truk i ndyrë funksionon në heshtje derisa të godasë të gjitha të vështira disk, pas së cilës do të shfaqë një dritare WanaDecrypt0r 2.0 me një kërkesë për të dhënë para. Nëse përdoruesi nuk e ka lënë ta përfundojë atë deri në fund dhe antivirusi ka mundur të heqë programin e kriptorit, mesazhi i mëposhtëm do të shfaqet në desktop:
Kjo do të thotë, përdoruesi paralajmërohet se disa nga skedarët e tij janë tashmë të infektuar dhe nëse dëshironi t'i riktheni ato, kthejeni kriptorin. Aha, tani! Mos e bëni kurrë këtë, përndryshe do të humbni pjesën tjetër. Kujdes! Askush nuk e di se si të deshifrojë skedarët WNCRY. Deri në. Ndoshta disa mjete deshifrimi do të shfaqen më vonë - do të presim dhe të shohim.
Mbrojtja nga virusi Wanna Cry
Në përgjithësi, patch-i i Microsoft MS17-010 për t'u mbrojtur kundër ransomware-it Wanna Decryptor u lëshua më 12 maj dhe nëse shërbimi në kompjuterin tuaj përditësimet e Windows funksionon mirë atëherë
ka shumë të ngjarë që sistemi operativ është tashmë i mbrojtur. Përndryshe, ju duhet të shkarkoni këtë patch të Microsoft-it për tuajin versionet e Windows dhe instaloni urgjentisht.
Atëherë këshillohet që të çaktivizoni plotësisht mbështetjen SMBv1. Të paktën derisa vala e epidemisë të qetësohet dhe situata të qetësohet. Kjo mund të bëhet ose nga linja e komandës me të drejtat e administratorit duke futur komandën:
dism / online / norestart / disable-feature / emri i veçorisë: SMB1Protocol
Në këtë mënyrë:
Ose përmes panelit Menaxhimi i Windows... Atje duhet të shkoni te seksioni "Programet dhe veçoritë", zgjidhni "Aktivizo ose çaktivizo". Komponentët e Windows". Do të shfaqet një dritare:
Ne gjejmë artikullin "Mbështetje për ndarjen e skedarëve SMB 1.0 / CIFS", zgjidhni atë dhe klikoni "OK".
Nëse papritmas ka probleme me çaktivizimin e mbështetjes SMBv1, atëherë për t'u mbrojtur kundër Wanacrypt0r 2.0, mund të shkoni në anën tjetër. Krijo një rregull në murin e zjarrit të përdorur në sistem që bllokon portat 135 dhe 445. Për standarde Firewall i Windows duhet të hyjë linja e komandës në vijim:
netsh advfirewall firewall shtoni rregullin dir = në veprim = bllok protokolli = TCP localport = 135 emri = "Close_TCP-135"
netsh advfirewall firewall shtoni rregullin dir = në veprim = protokolli bllok = TCP localport = 445 emri = "Close_TCP-445"
Një tjetër mundësi është përdorimi i një falas speciale aplikacioni Windows Pastrues i dyerve me krimba:
Nuk kërkon instalim dhe ju lejon të mbyllni lehtësisht boshllëqet në sistem përmes të cilave një virus kriptimi mund të zvarritet në të.
Dhe sigurisht, nuk duhet të harrojmë mbrojtje antivirus... Përdorni vetëm të provuar produkte antivirus- DrWeb, Kaspersky Internet Siguria, E-SET Nod32. Nëse tashmë keni të instaluar një antivirus, sigurohuni që të përditësoni bazat e të dhënave të tij:
Më në fund, do të jap pak këshilla... Nëse keni të dhëna shumë të rëndësishme që është shumë e padëshirueshme t'i humbni - ruajini ato i lëvizshëm i vështirë disk dhe vendoseni në kabinet. Të paktën për kohëzgjatjen e epidemisë. Kjo është mënyra e vetme për të garantuar disi sigurinë e tyre, sepse askush nuk e di se cili do të jetë modifikimi i radhës.
Nëse shfaqet kompjuteri mesazh me tekst, në të cilën shkruhet se skedarët tuaj janë të koduar, atëherë mos nxitoni për panik. Cilat janë simptomat e enkriptimit të skedarëve? Shtesa e zakonshme është ndryshuar në * .vault, * .xtbl, * [email i mbrojtur] _XO101, etj. Ju nuk mund t'i hapni skedarët - keni nevojë për një çelës, i cili mund të blihet duke dërguar një letër në adresën e treguar në mesazh.
Ku i keni marrë skedarët tuaj të koduar?
Kompjuteri kapi një virus që bllokoi aksesin në informacion. Antiviruset shpesh i kalojnë ato, sepse ky program zakonisht bazohet në një lloj të padëmshëm shërbim falas enkriptimi. Ju mund ta hiqni vetë virusin mjaft shpejt, por mund të shfaqen probleme serioze me deshifrimin e informacionit.
Mbështetja teknike e Kaspersky Lab, Dr.Web dhe kompanive të tjera të njohura të angazhuara në zhvillimin e softuerit antivirus, në përgjigje të kërkesave të përdoruesve për të deshifruar të dhënat, informon se është e pamundur të bëhet kjo brenda një kohe të arsyeshme. Ka disa programe që mund të marrin kodin, por ata dinë të punojnë vetëm me viruse të studiuara më parë. Nëse jeni përballur me modifikim i ri, atëherë shanset për të rivendosur aksesin në informacion janë jashtëzakonisht të vogla.
Si arrin një virus ransomware në një kompjuter?
Në 90% të rasteve, vetë përdoruesit e aktivizojnë virusin në kompjuter. duke hapur shkronja të panjohura. Pas kësaj në e-mail vjen një mesazh me temë provokuese – “Thirrje në gjykatë”, “Kredi e prapambetur”, “Njoftim nga zyra e taksave” etj. Ekziston një shtojcë brenda emailit të rremë, pas shkarkimit të së cilës ransomware shkon në kompjuter dhe gradualisht fillon të bllokojë aksesin në skedarë.
Kriptimi nuk është i menjëhershëm, kështu që përdoruesit kanë kohë për të hequr virusin përpara se të gjitha informacionet të kodohen. Ju mund të shkatërroni një skript me qëllim të keq duke përdorur shërbimet e pastrimit Dr.Web CureIt, Kaspersky Siguria e internetit dhe Malwarebytes Antimalware.
Metodat e rikuperimit të skedarëve
Nëse mbrojtja e sistemit është aktivizuar në kompjuter, atëherë edhe pas veprimit të virusit ransomware, ka shanse që skedarët të kthehen në gjendjen e tyre normale duke përdorur kopje hije të skedarëve. Kriptografët zakonisht përpiqen t'i heqin ato, por ndonjëherë ata dështojnë për shkak të mungesës së privilegjeve të administratorit.
Rivendosni një version të mëparshëm:
Që versionet e mëparshme të ruhen, duhet të aktivizoni mbrojtjen e sistemit.
E rëndësishme: mbrojtja e sistemit duhet të aktivizohet përpara se të shfaqet ransomware, pas kësaj ai nuk do të ndihmojë më.
- Hapni veçoritë "Computer".
- Nga menyja në të majtë, zgjidhni "Mbrojtja e Sistemit".
- Theksoni diskun C dhe klikoni Konfiguro.
- Zgjidhni rivendosjen e cilësimeve dhe versionet e mëparshme dosjet. Aplikoni ndryshimet duke klikuar "Ok".
Nëse i keni marrë këto masa përpara shfaqjes së skedarëve që kripton virusin, atëherë pasi të keni pastruar kompjuterin nga kod me qëllim të keq do të keni një shans të mirë për të rikuperuar informacionin.
Përdorimi i shërbimeve të veçanta
Kaspersky Lab ka përgatitur disa shërbime për të ndihmuar në hapjen e skedarëve të koduar pas heqjes së virusit. Dekriptuesi i parë që ia vlen të provohet është Kaspersky RectorDecryptor.
- Shkarkoni aplikacionin nga faqja zyrtare e Kaspersky Lab.
- Pastaj ekzekutoni programin dhe klikoni "Filloni kontrollin". Specifikoni shtegun për çdo skedar të koduar.
Nëse malware nuk ka ndryshuar shtrirjen e skedarëve, atëherë për t'i deshifruar ato, duhet t'i grumbulloni ato dosje të veçantë... Nëse mjeti është RectorDecryptor, shkarkoni dy programe të tjera nga faqja zyrtare e Kaspersky - XoristDecryptor dhe RakhniDecryptor. 
Shërbimi më i fundit nga Kaspersky Lab quhet Ransomware Decryptor. Ai ndihmon në dekriptimin e skedarëve pas virusit CoinVault, i cili nuk është ende shumë i përhapur në internetin rus, por së shpejti mund të zëvendësojë Trojan të tjerë.
Sulmi më i fuqishëm nga virusi Wana Decryptor filloi dje më 12 maj 2017, mijëra kompjuterë u prekën në mbarë botën. Në vetëm pak orë, në botë kishte 45,000 kompjuterë të infektuar dhe ky numër rritej çdo minutë.
Vendi më i prekur doli të ishte Rusia, edhe sot e kësaj dite sulmi i virusit vazhdon dhe tani hakerët po përpiqen të marrin nën kontroll sektorin bankar. Dje sulmi kryesor goditi kompjuterët e përdoruesve të zakonshëm dhe rrjetin e Ministrisë së Brendshme ruse.
Programi kodon aksesin në skedarë të ndryshëm në kompjuterin tuaj dhe ofron qasje në to vetëm pasi të keni paguar me bitcoin. Në këtë mënyrë hakerët mund të fitojnë miliona dollarë. Nuk ka ende asnjë mënyrë për të deshifruar skedarët WNCRY, por ju mund të rikuperoni skedarët e koduar duke përdorur programet ShadowExplorer dhe PhotoRec, por askush nuk mund të japë garanci.
Ky virus ransomware shpesh quhet Wana Decryptor, megjithatë, ai ka edhe emra të tjerë WanaCrypt0r, Wanna Cry ose Wana Decrypt0r. Para kësaj, virusi kryesor kishte një ransomware vellai i vogel Wanna Cry dhe WanaCrypt0r. Më vonë, numri "0" u zëvendësua me shkronjën "o", dhe virusi kryesor u bë i njohur si Wana Decrypt0r.
Në fund, virusi shton shtesën WNCRY në skedarin e koduar, ndonjëherë quhet me këtë shkurtim.
Si e infekton Wana Decryptor një kompjuter?
Kompjuterët e sallës operative Sistemet Windows kanë një cenueshmëri në shërbimin SMB. Kjo vrimë ka në të gjitha sistemi operativ Versioni i Windows 7 në Windows 10. Në mars, korporata lëshoi përditësimin patch "MS17-010: Përditësimi i sigurisë për Windows SMB Server", megjithatë, numri i kompjuterëve të infektuar tregon se shumë e injoruan këtë përditësim.
Në fund të punës së tij, virusi Wana Decryptor do të përpiqet të fshijë të gjitha kopjet e skedarëve dhe kovave të tjera të sistemit, në mënyrë që nëse ndodh diçka, të mos mund të rikthehet. Për ta bërë këtë, ai do t'i kërkojë përdoruesit të drejtat e administratorit, sistemi operativ Windows do të shfaqë një paralajmërim nga shërbimi UAC. Nëse përdoruesi refuzon të sigurojë të drejta të plota, atëherë kopjet e skedarëve do të mbeten në kompjuter dhe përdoruesi do të jetë në gjendje t'i rivendosë ato absolutisht falas.
Si të rikuperoni skedarët e koduar nga Wana Decryptor dhe të mbroni kompjuterin tuaj?
Mënyra e vetme për të rikuperuar skedarët që janë koduar nga një virus është përdorimi i programeve ShadowExplorer dhe PhotoRec. Për informacion se si të rikuperoni skedarët e enkriptuar, shihni manualin për këto programe.
Për të parandaluar infektimin e kompjuterit tuaj me virusin ransomware WNCRY, duhet të mbyllni të gjitha dobësitë në sistem. Për ta bërë këtë, shkarkoni përditësimin MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.
Përveç kësaj, mos harroni të instaloni një antivirus në kompjuterin tuaj. Zemana Anti-malware ose Malwarebytes, me pagesë versioni i plotë ata do të bllokojnë lëshimin e viruseve ransomware.
Dekriptuesi WannaCry ( ose WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), tashmë quhet "virusi i 2017". Dhe nuk është aspak e paarsyeshme. Vetëm në 24 orët e para pas fillimit të shpërndarjes së tij - dhënë ransomware goditi më shumë se 45,000 kompjuterë. Disa studiues besojnë se në ky moment(15 maj) më shumë se një milion kompjuterë dhe serverë janë infektuar tashmë. Për kujtesë, virusi filloi të përhapet më 12 maj. Përdoruesit nga Rusia, Ukraina, India dhe Tajvani ishin të parët që vuajtën. Për momentin, virusi po përhapet me shpejtësi të madhe në Evropë, SHBA dhe Kinë.
Informacioni u kodua në kompjuterë dhe serverë të agjencive qeveritare (në veçanti, Ministrisë së Punëve të Brendshme të Rusisë), spitaleve, korporatave transnacionale, universiteteve dhe shkollave.
Wana Decryptor (Wanna Cry ose Wana Decrypt0r) paralizoi punën e qindra kompanive dhe agjencive qeveritare në mbarë botën
Në fakt, WinCry (WannaCry) është një shfrytëzim i familjes EternalBlue, i cili shfrytëzon një dobësi mjaft të vjetër të sistemit operativ Windows (Windows XP, Windows Vista, Windows 7, Windows 8 dhe Windows 10) dhe ngarkon veten në sistem në një Modaliteti "i qetë". Më pas, duke përdorur algoritme rezistente ndaj deshifrimit, ai kodon të dhënat e përdoruesit (dokumentet, fotot, videot, spreadsheets, baza e të dhënave) dhe kërkon një shpërblim për deshifrimin e të dhënave. Skema nuk është e re, ne po shkruajmë vazhdimisht për lloje të reja të ransomware për enkriptimin e skedarëve - por metoda e shpërndarjes është e re. Dhe kjo çoi në një epidemi.
Simptomat:
Pas instalimit të suksesshëm në kompjuterin e përdoruesit, WannaCry përpiqet të përhapet në rrjetin lokal në PC të tjerë si një krimb. Skedarët e koduar marrin shtesën e sistemit .WCRY dhe bëhen plotësisht të palexueshëm dhe nuk mund të deshifrohen vetë. Pas enkriptim i plotë Wcry ndryshon sfondin e desktopit dhe lë "udhëzime" për deshifrimin e skedarëve në dosje të koduara.
Në fillim, hakerët zhvatën 300 dollarë për çelësat e deshifrimit, por më pas e ngritën këtë shifër në 600 dollarë.
Si të parandaloni që WannaCry Decryptor të infektojë kompjuterin tuaj?
Shkarkoni përditësimin e sistemit operativ nga faqja e internetit e Microsoft.
Çfarë duhet të bëni nëse kompjuteri juaj është i infektuar?
Përdorni udhëzimet e mëposhtme për të rikuperuar të paktën disa nga informacionet në kompjuterin e infektuar. Përditësoni antivirusin tuaj dhe instaloni patch-in e sistemit operativ. Një dekriptues për këtë virus nuk ekziston ende në natyrë. Ne këshillojmë fuqimisht kundër pagesës së një shpërblimi për kriminelët kibernetikë - nuk ka asnjë garanci, qoftë edhe më të vogël, se ata do të deshifrojnë të dhënat tuaja pasi të marrin një shpërblim.
Hiqni ransomware WannaCry me një pastrues automatik
Ekskluzivisht metodë efektive duke punuar me malware në përgjithësi dhe ransomware në veçanti. Përdorimi i një kompleksi mbrojtës të mirë-provuar garanton tërësinë e zbulimit të çdo komponenti viral, të tyre heqje e plotë me një klikim. Shënim, vjen rreth dy proceseve të ndryshme: çinstalimi i infeksionit dhe rivendosja e skedarëve në kompjuterin tuaj. Sidoqoftë, kërcënimi me siguri duhet të hiqet, pasi ka informacione në lidhje me prezantimin e Trojans të tjerë kompjuterikë me ndihmën e tij.
- ... Pas nisjes së softuerit, klikoni butonin Filloni skanimin e kompjuterit(Filloni skanimin). ...
- Softueri i instaluar do të sigurojë një raport mbi kërcënimet e zbuluara gjatë skanimit. Për të hequr të gjitha kërcënimet e gjetura, zgjidhni opsionin Rregulloni kërcënimet(Eliminoni kërcënimet). Malware në fjalë do të hiqet plotësisht.
Rivendos aksesin në skedarët e koduar
Siç u përmend, ransomware no_more_ransom bllokon skedarët me një algoritëm të fortë enkriptimi, kështu që të dhënat e koduara nuk mund të rifillojnë me një valë të një shkopi magjik - nëse nuk merrni parasysh pagesën e padëgjuar të shpërblimit. Por disa metoda mund të bëhen vërtet shpëtimtare që do t'ju ndihmojnë të rikuperoni të dhëna të rëndësishme. Më poshtë mund të njiheni me to.
Programi rikuperim automatik skedarë (dekoder)
Dihet një rrethanë shumë e jashtëzakonshme. Ky infeksion fshin skedarët origjinalë të pakriptuar. Kështu, procesi i enkriptimit të ransomware synon kopjet e tyre. Kjo ofron një mundësi për një të tillë software si të rikuperoni objektet e fshira, edhe nëse besueshmëria e eliminimit të tyre është e garantuar. Rekomandohet shumë që të drejtoheni në procedurën e rikuperimit të skedarëve, efektiviteti i tij është pa dyshim. 
Kopjet hije të vëllimit
Qasja bazohet në Procedura e Windows Rezervo kopje skedarë, i cili përsëritet në çdo pikë rikuperimi. Një kusht i rëndësishëm për funksionimin e kësaj metode: funksioni "Rivendosja e sistemit" duhet të aktivizohet përpara infektimit. Megjithatë, çdo ndryshim i bërë në skedar pas pikës së rivendosjes nuk do të shfaqet në versionin e rivendosur të skedarit.
Rezervimi
Kjo është më e mira nga të gjitha metodat jo-shlyerëse. Nëse procedura për rezervimin e të dhënave në një server të jashtëm është përdorur përpara sulmit të ransomware në kompjuterin tuaj, për të rivendosur skedarët e koduar, thjesht duhet të futni ndërfaqen e duhur, të zgjidhni skedarët e nevojshëm dhe të filloni mekanizmin e rikuperimit të të dhënave nga rezervimi. Përpara se të kryeni operacionin, duhet të siguroheni që ransomware është hequr plotësisht.
Kontrolloni për komponentë të mundshëm të mbetur të ransomware WannaCry
Pastrimi në modaliteti manualështë i mbushur me lëshimin e disa fragmenteve të ransomware që mund të shmangin fshirjen në formën e objekteve të fshehura të sistemit operativ ose regjistrimeve të regjistrit. Për të eliminuar rrezikun e ruajtjes së pjesshme të disa elementeve me qëllim të keq, skanoni kompjuterin tuaj duke përdorur një siguri të besueshme paketë softuerike i specializuar në malware.
