12. mája okolo 13 MSK vybuchla „bomba“, ktorá začala šíriť vírus Wana Decryptor. Prakticky niekoľko rokov boli infikované desaťtisíce počítačov na celom svete. Doteraz bolo potvrdených viac ako 45 000 počítačových infekcií.
Chcem zamorenie Vírus plaču Počítače boli uznávané ako šifrovacie súpravy ako hlavné koristuvachy a pracovné počítače v rôznych organizáciách vrátane MVS Ruska.
Bohužiaľ, zároveň neexistuje spôsob, ako dešifrovať súbory WNCRY, alebo môžete vyskúšať vicoristické programy ako ShadowExplorer a PhotoRec.
Aký je správny názov pre šifrovací vírus Wana Decryptor, WanaCrypt0r, Wanna Cry alebo Wana Decrypt0r?
Od okamihu prvého prejavu vírusu v merezhі už bolo veľa rôznych informácií o víruse šifrovej súpravy a často sa nazýva rôznymi menami. Stalo sa to z viacerých dôvodov. Predtým, keď sa objavil vírus Wana Decrypt0r, existovala prvá verzia Wanna Decrypt0r, ktorej hlavnou funkciou bol streaming (2.0) spôsob, ako ju rozšíriť. Táto prvá možnosť nezískava takú veľkú popularitu, ako Yogoov mladší brat, ale zavdyaki tsomu v niektorých novinkách, nový vírus volať šifru v mene jogy starší brat, a Chcem plakať Chcem dešifrovať.
Ale stále sú hlavné názvy Wana Decrypt0r, ak chcete nahradiť číslo "0" písmenom "o", aby ste nás privolali k názvu Wana Decryptor alebo WanaDecryptor.
A zvyšok názvov, ktorý sa často nazýva šifrovací vírus - ce WNCRY vírus, teda podľa rozšírenia, ako sa pridáva k názvu súborov, že šifrovanie bolo rozpoznané.
Ako Wana Decryptor preniká do počítača?
Dôvodom veľkej šírky šifrovania Wana Decrypt0r je prítomnosť nekonzistentnosti v službe SMB operačného systému Windows. Tento rozdiel je prítomný vo všetkých aktuálnych verziách Windowsu, od Windowsu 7 po Windows 10. Dňa 14. marca 2017 Aktualizácia „MS17-010: Aktualizácia zabezpečenia pre Windows SMB Server“ (aktualizovaná) bola vydaná, ale ako ukazuje bezpečnostné rozšírenie vírusu, ešte nie sú nainštalované všetky počítače.
Keďže aktualizácia MS17-010 ešte nebola nainštalovaná, je potrebné tak urobiť! Wana Decrypt0r sa jednoducho rozširuje s božskou švédskosťou a bez opravy sa váš počítač stane absolútne otvoreným pre infekciu.
Ako WanaDecryptor šifruje súbory v počítači?
Po spustení WNCRY vírus ransomware automaticky rozbalí svoj inštalačný program, ktorý obsahuje nasledujúce súbory:
b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taske.exe
u.wnry
Ak existujú informácie z archívov o mojom vykúpení, ako vikoristovi koristuvach počítač. V súčasnosti Wana Decrypt0r podporuje tento film:
Bulharčina, čínština (zjednodušená), čínština (tradičná), chorvátčina, čeština, dánčina, holandčina, angličtina, filipínčina, fínčina, francúzština, nemčina, gréčtina, indonézština, taliančina, japončina, kórejčina, lotyština, nórčina, poľština, portugalčina, rumunčina, Ruština, slovenčina, španielčina, švédčina, turečtina, vietnamčina
Potom vírus WanaCrypt0r zachytí prehliadač TOR, ktorý sa používa na komunikáciu s riadiacimi servermi šifrovacieho vírusu. Ak je tento proces zakázaný, vírus zabije príkaz, pomocou ktorého obnoví prístup ku všetkým dostupným adresárom a súborom. Je potrebné, aby ste zašifrovali, ako môžete viac súborov na infikovanom počítači
V ďalšej fáze WanaDecryptor dokončí procesy s nasledujúcimi názvami mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, aby zašifroval všetky databázy, ktoré sú na infikovanom počítači.
Po dokončení vyššie popísaných prípravných krokov prejde vírus až do procesu šifrovania. Procesy jogy šifrujú súbory s nasledujúcimi príponami:
Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .. doc
Pred rečou, zoznam rozšírení, svojím spôsobom neexistuje žiadna expanzia pre populárny program 1C v Rusku, môžete vytvoriť visnovoks, ktoré možno nájsť pomocou vírusových výtvorov neruských programátorov.
Ak je súbor zašifrovaný, k jeho názvu sa pridá prípona „.WNCRY“. To znamená, že pred zašifrovaním súboru sa súbor maw pomenuje „image.bmp“, potom sa jeho názov ako šifrovacieho súboru zmení na „image.bmp.WNCRY“.
Ak sú všetky súbory v adresári zašifrované, kodér vírusov presunie niekoľko súborov do rovnakého adresára, [e-mail chránený]— získať pokyny na dešifrovanie súborov a @ [e-mail chránený]- Decryptor šifrovaných súborov.
V záverečnej fáze svojej práce sa vírus WanaDecryptor pokúša odhaliť tieňové kópie všetkých súborov a ďalšie možnosti aktualizácie súborov, ktoré boli predtým zašifrované. Ak táto operácia vyžaduje ďalšie práva, operačný systém zobrazí službu UAC dopredu. Napríklad ako kópia kódu nebudú tieňové kópie súborov vymazané a zašifrované súbory bude možné uplatniť úplne bez nákladov. Potvrdenie tohto є kіlka povіdomlen vіd koristuvachіv na fóre fanklubu antivírusového Kaspersky.
Ako obnoviť šifrované súbory WNCRY?
Ako už bolo spomenuté vyššie, jediný spôsob, ako bezpečne otočiť svoje súbory, ak boli zašifrované vírusovým šifrátorom WanaDecryptor - špeciálnymi programami vikoristovuvat, ako sú ShadowExplorer a PhotoRec. Podrobný proces ich výberu popisov od pomocníka.
Ak máte jedlo z viniča alebo ak potrebujete pomoc, môžete vytvoriť Nová téma na našom fóre alebo zanechajte komentár nižšie.
Ako chrániť počítač pred napadnutím šifrovacím vírusom Wana Decryptor?
Musíte zavrieť zadnú časť hlavy operačný systém, inštalácia aktualizácie MS17-010, na základe jaka, ktorého môžete poznať na klase tohto článku. Ak nie je možné aktualizáciu nainštalovať, deaktivujte protokol SMBv1 (Ako deaktivovať deaktiváciu SMBv1, povoliť) alebo na bráne firewall zablokujte vstupy na port 445.
Pre organizáciu plnohodnotnej počítačovej obrany budete potrebovať min bezkostovny antivírus(čudovať sa článku) ten program boja proti shkіdlivim PZ (čudovať sa článku). Odporúčame hacknúť Zemana Anti-malware alebo Malwarebytes. Novšie verzie týchto programov tiež zahŕňajú prídavný modul blokovanie spustenia vírusov ransomware.
Vybrané informácie.
12. mája sa začala epidémia nekvalitného softvéru Wana Decryptor, ktorý šifruje údaje v počítači koristuvach.
Ako Wana Decryptor infikuje počítače?
Zvláštna nekonzistentnosť Wana Decrypt0r v službe SMB operačného systému Windows. Nekonzistentnosť Tsya je prítomná vo všetkých aktuálne verzie Windows ako Windows 7 až Windows 10.
Tsya spor je uzavretý náplasťou MS17-010(Aktualizácia zabezpečenia pre Windows SMB Server) 14. marca 2017(ako ste povolili automatická aktualizácia, potom nainštalujte opravu manuálne)
Postarajte sa o zlepšenie bezpečnosti.
Cvičenie jakov Wana Decryptor.
Bezplatná služba automatizovanej analýzy malvéru – používa technológiu VxStream Sandbox – Zobrazenie výsledkov analýzy súborov online pre „@ [e-mail chránený]"
Pri prvom spustení sa súbor načíta do rovnakého priečinka ako inštalačný program. Súbor є archívy chránené heslom 7 zips súbory z nejakého druhu zákruty v robotickom shkidlivy PZ
Na povіdomlennі o vykup vykoristovuetsya rovnaké mova, ako vykupovuє koristuvach počítač. V súčasnosti Wana Decrypt0r podporuje tento film:
Dali WanaCrypt0r prehliadač zavantazhu TOR (Download Tor), ktorý vikoristovuєtsya komunikovať s riadiacimi servermi šifrovacieho vírusu. Ak je tento proces zakázaný, vírus zabije príkaz, pomocou ktorého obnoví prístup ku všetkým dostupným adresárom a súborom.Bulharčina, čínština (zjednodušená), čínština (tradičná), chorvátčina, čeština, dánčina, holandčina, angličtina, filipínčina, fínčina, francúzština, nemčina, gréčtina, indonézština, taliančina, japončina, kórejčina, lotyština, nórčina, poľština, portugalčina, rumunčina, ruský, slovenský, španielsky, švédsky, turecký, vietnamský,
CMD/BATCH:
icacls. /poskytnúť všetkým:F /T /C /Q
Je to potrebné na zašifrovanie čo najväčšieho počtu súborov na infikovanom počítači.
A tak sa sám snaží dokončiť nasledujúce procesy:
CMD/BATCH:
taskkill.exe /f /im mysqld.exe taskkill.exe /f /im sqlwriter.exe taskkill.exe /f /im sqlserver.exe taskkill.exe /f /im MSExchange* taskkill.exe /f /im Microsoft.Exchange. *
Dovoľte mi zašifrovať bazi danih.
Zdirnik šifruje súbory s urážlivými príponami
Kód:
Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .. doc
Šifrované súbory môžu mať ďalšie prípony WNCRY podľa normy 
Po zašifrovaní súborov sa do adresára pridajú dva súbory:
- @[e-mail chránený]- oznámenie zdirnik
- @[e-mail chránený]- dekodér
CMD/BATCH:
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set (predvolené) boostatuspolicy ignoreallfailures & bcdedit /set (predvolené) obnovenie povolené no & wbadmin delete Catalog -qui
!!Ak vyskúšate príkaz vikonate, príkaz na zmazanie si vyžiada UAC a v prípade potreby HI, potom príkaz nebude vikonan, čo dáva veľkú šancu na obnovenie informácií. Ak máte vypnuté UAC (napríklad ak máte serverový OS), prijmite moje slová.
Ak stlačíte tlačidlo na overenie platby, sirnik sa pripojí k serverom TOR C2, aby si overil, že platba bola vykonaná. Ak bola platba vykonaná, súbory budú dešifrované automatický režim Ak platba nie je jasná, súhlasíte s platbou, podobne ako je uvedené nižšie.
Ako dešifrovať súbory po WanaCrypt0r?
Yakscho dovnútra spýtaj sa UAC ak si im pomohol, tak pomôž. Užitočný je aj program ShadowExplorer.
Na daný moment neexistuje spôsob, ako dešifrovať súbory bez pomoci zločincov, pretože je možné vyčistiť tieňové kópie.
Ako sa chrániť pred infekciou pomocou šifry?
- Absolútny zakhistu neexistuje.
- Nemiknite automaticky Aktualizácia systému Windows Tse umožňujú okamžite (bіlsh-mensh) zakrivenie OS.
- Vyhrajte svoj antivírus alebo buďte pripravení zlikvidovať dedičstvo.
- Neverte nikto prinajmenšom neotvárajte neoverené súbory, pretože ste ich odstránili bez opätovnej antivírusovej kontroly.
- Záložná kópia Victory a chim dôležitá informácia vzdávajte im väčšiu úctu, dávajte jedlo a bezpečnostné kópie.
WannaCry- špeciálny program, keďže blokuje všetky dáta v systéme a ponecháva len dva súbory: inštrukcie pre pracujúcich a samotný program Wanna Decryptor – nástroj na odomykanie dát.
Väčšina spoločností zapojených do počítačovej bezpečnosti má dešifrovacie nástroje a nástroje, ktoré dokážu opraviť softvérovú bezpečnosť. Pre najväčších smrteľníkov je metóda „vyvyšovania“ stále neznáma.
WannaCry Decryptor ( alebo WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), už nazývaný „vírus roku 2017“. tomu hovorim nie bezpodstavno. Len za prvých 24 rokov od začiatku svojho rozpovsyudzhennya - táto šifrovacia sada zasiahla viac ako 45 000 počítačov. Najnovšie správy vedia, že k dnešnému dňu (15. mája) už bolo infikovaných viac ako milión počítačov a serverov. Predpokladá sa, že vírus sa začal šíriť 12. mája. Ako prví utrpeli Coristuvachi z Ruska, Ukrajiny, Indie a Taiwanu. Vírus sa momentálne veľmi plynule šíri v Európe, USA a Číne.
Bula šifrovala informácie na počítačoch a serveroch štátnych zariadení (Zokrema MVS Rusko), nemocníc, nadnárodných korporácií, univerzít a škôl.
Wana Decryptor (Wanna Cry alebo Wana Decrypt0r) paralyzoval robota stoviek spoločností a mocností etablovaných po celom svete.
WinCry (WannaCry) je v podstate exploit z rodiny EternalBlue, akýsi starý víťazný vplyv operačného systému Windows (Windows XP, Windows Vista, Windows 7, Windows 8 a Windows 10) a v „tichom“ režime , zavantazhu sám do systému. Prečo, za pomoci algoritmov, ktoré sú stabilné pred dešifrovaním, šifrovanie údajov koristuvachov (dokumenty, fotografie, videá, tabuľky, databázy), ktoré si vyžaduje poplatok za dešifrovanie údajov. Schéma nie je nová, ale neustále píšeme o nových šifrovacích súpravách v súboroch – nový je však spôsob rozširovania. Spôsobil som epidémiu.
Ako funguje vírus
Program skenuje na internete uzly z počítačových vyhľadávaní z kritického portu TCP 445, ktorý je zodpovedný za obsluhu protokolu SMBv1. Po nájdení takéhoto počítača sa program pokúsi využiť EternalBlue na novej úrovni a úspešne nainštaluje zadné vrátka DoublePulsar, cez ktoré sa to využije, a spustí sa kód programu WannaCry. V prípade kožného testu program prepíše prítomnosť na cieľovom počítači DoublePulsar a keď sa zistí, bez prerušenia zmizne cez zadné vrátka.
Pred prejavom dnes tieto cesty nevidno antivírusové programy, Čo a zrobilo infekciu podlahoviny mas. Prvým majestátnym kameňom v blízkosti mesta je distribútor antivírusového softvéru. Ako to môže Bulo nechať tak? Za čo beriete groše?
Po spustení programu shkidliv je to ako klasický program vimagach: generuje pár kľúčov, jedinečný pre počítač s podporou skinu, ktorý je asymetrický voči algoritmu RSA-2048. Potom WannaCry začne skenovať systém pri hľadaní súborov rôznych typov, ktoré sú kritické pre vzdialené fungovanie tých krátkodobých. Stiahnutý súbor je zašifrovaný pomocou algoritmu AES-128-CBC s jedinečným (vipadkovým) kľúčom pre skin, ktorý je zašifrovaný RSA kľúčom infikovaného systému a je uložený v hlavičke zašifrovaného súboru. Keď do súboru zašifrovaného kožou pridáte príponu .wcrik. Pár kľúčov RSA v šifrovanom systéme je zašifrovaný s kritickým kľúčom Zlomyseľní ľudia sú im posielaní na kontrolný server, roztashovaní v Tor, po ktorom je možné vidieť všetky kľúče z pamäte infikovaného stroja. Po dokončení procesu šifrovania sa program zobrazí na obrazovke v okne s možnosťou prevodu malej sumy v bitcoinoch (ekvivalent 300 USD) počas troch dní. Ak nepotrebujete splatiť naraz, vaša suma sa automaticky zvýši. Na šiesty deň, ak WannaCry nie je odstránený z infikovaného systému, budú zašifrované súbory vymazané. Mal by sa mi zobraziť, ako keby bol nainštalovaný v počítači. Program Zagal podporuje 28 mov. Súbežne so šifrovaním programu skenujte príslušné internetové adresy a miestne linky na vzdialenú infekciu nových počítačov.
Algoritmus, ktorý používajú záškodníci pri jednotlivých platbách obete kože a správa kľúča na dešifrovanie implementácií s pardonom, sa podľa Symantecu stanú pretekmi. Je potrebné zaplatiť vikupu bez podvodov, nebudú sa odosielať úlomky jednotlivých kľúčov a súbory budú stále šifrované. Existuje však lepšia metóda na dešifrovanie súborov s veľkosťou menšou ako 200 MB a existuje aj šanca na dešifrovanie súborov s väčšou veľkosťou. Okrem toho na starších systémoch Windows XP Windows Server 2003 kvôli zvláštnostiam implementácie algoritmu na výpočet pseudonásilných čísel v systéme je možné obnoviť uzavreté kľúče RSA a dešifrovať všetky postihnuté súbory, ako keby sa počítač nereštartoval od okamihu infekcie. Nedávno skupina francúzskych expertov na kybernetickú bezpečnosť zo spoločnosti Comae Technologies rozšírila svoje schopnosti na Windows 7 a implementovala ich do praxe, pričom publikovala v r. pre kritický prístup užitočnosť WanaKiwi umožňuje dešifrovať súbory bez vymazania.
V skorých verziách programu bol prenesený mechanizmus sebazničenia, takže tituly Kill Switch, - program skontroloval dostupnosť dvoch internetových domén a v rôznych prípadoch bol videný z počítača. 12. mája 2017 (Angličtina) ruský. , 22. virálny analytik britskej spoločnosti Kryptos Logic, ktorý na Twitteri píše pod prezývkou @MalwareTechBlog a registruje jednu z domén na svoje meno. S touto hodnosťou sa youmu podarilo zablokovať rozšírenie tejto modifikácie. programy shkidlivoї. 14. mája bola zaregistrovaná ďalšia doména. V novších verziách vírusu, mechanizme samozatvárania listov zničenia, bol softvér prerušený nie vo výstupe programového kódu, ale v spôsobe úpravy súboru, ktorý umožňuje povoliť zmenu tohto opravu nie v mene autorov pôvodného WannaCry, ale v podobe votrelcov tretích strán. V dôsledku zlyhania šifrovacieho mechanizmu, že danej verzii hrobaka môže byť hanblivejší sám k sebe, pozná rôzne počítače, ale nie dosť dobrý na to, aby mu dal neprerušované shkodi.
Vysoká rýchlosť rozšírenia WannaCry, jedinečného pre softvér-zdirnik, je chránená najrozšírenejším protokolom tetheringu SMB operačného systému publikovaným v divokom roku 2017. Microsoft Windows Popis nájdete v bulletine MS17-010. Rovnako ako v klasickej schéme, program-wimagach dal na počítači e-mail alebo na webe, osud coristuvach je pre WannaCry úplne zakázaný. Trivalná hodina medzi prejavmi zhovievavého počítača a jogy k najnovším infekciám sa blíži k 3 whilinom.
Predajca potvrdil prítomnosť nekonzistentnosti v absolútne všetkých základných a serverových produktoch, ktoré môžu implementovať protokol SMBv1 – počnúc Windows XP/Windows Server 2003 a končiac Windows 10/Windows Server 2016. Po spustení WannaCry sa spoločnosť rozbehla bezprecedentným tempom a 13. januára vydala aj aktualizáciu pre produkty s označením podpora (Windows XP, Windows Server 2003 a Windows 8).
Rozpovsudzhennya vírus WannaCry
Vírus sa môže šíriť rôznymi spôsobmi:
- Prostredníctvom jedinej počítačovej siete;
- príspevok;
- Cez prehliadač.
Zvlášť neviem prečo mereveve z'ednannya nekontrolované antivírusom. Rovnaký spôsob infekcie, ako je prehliadanie stránky alebo prehliadača, aby zaistil bezpečnosť predajcov a tých, ktorí sa snažia o softvérovú licenciu na útok na počítač, nie je pravdivý.
Príznaky infekcie a infekcie vírusom
Po úspešnej inštalácii na PC sa WannaCry môže lokálne rozšíriť na iné PC, ako hrobak. Šifrované súbory boli odstránené zo systémovej prípony.WCRY a stali sa úplne nečitateľnými a nedajú sa samostatne dešifrovať. Po opätovnom zašifrovaní Wcry zmení mriežku pracovnej tabuľky a vyplní „pokyny“ na dešifrovanie súborov v priečinkoch so zašifrovanými údajmi.
Hackeri si za dešifrovacie kľúče na zadnej strane účtovali 300 dolárov a druhú sumu zvýšili na 600 dolárov.
Ako ochrániť váš počítač pred infikovaním WannaCry Decryptorom?
Požiadajte o aktualizáciu operačného systému z webovej lokality spoločnosti Microsoft.
Čo je Robity Chi infekcie vášho počítača?
Postupujte podľa pokynov nižšie a pokúste sa uplatniť niektoré informácie, ktoré chcete na infikovanom počítači. Aktualizujte antivírus a nainštalujte opravu operačného systému. Dešifrovač tohto vírusu stále nie je dostupný v prírode. Jednoznačne neodporúčame platiť výkupné páchateľom zla – rovnako prinajmenšom neexistujú žiadne záruky, že po prijatí výkupného rozlúštia vaše údaje.
Vidality WannaCry šifrovač za pomoci automatického čističa
Vinyatkovo efektívna metóda roboty zі shkіdlivim PZ vzagalі a programy-vimagachami zokrema. Vykoristannya zahisny komplex, ktorý sa osvedčil, zaručuje spoľahlivosť prejavu akýchkoľvek vírusových zložiek, їх z dohľadu jedným kliknutím myši. Z dobrého dôvodu existujú dva rôzne procesy: odinštalovanie infekcie a aktualizácia súborov v počítači. Prote hrozba, šialene, pіdlyagaє vydalennya, oskolki є vіdomosti pro provadzhennya іnshih počítačové trójske kone pre її pomoc.
- Zavantage program na odstránenie vírusu WannaCry. Po spustení softvéru stlačte tlačidlo Spustite kontrolu počítača(Takmer skenovanie). Program Zavantage pre vzdialený šifrovač WannaCry .
- Nainštalovaný bezpečnostný softvér odošle výzvu na zistenie kontroly hrozieb. Ak chcete odstrániť všetky známe hrozby, vyberte možnosť Opravte hrozby(Usunut hrozi). Pozrite sa na bezpečnostný softvér, uvidíte toho viac.
Obnovte prístup k zašifrovaným súborom
Ako bolo nastavené, sprievodca no_more_ransom zablokuje súbory pomocou silného šifrovacieho algoritmu, takže šifrované údaje nemožno rozpoznať mávnutím čarovného prútika - preto neprijímajte platby za nevyžiadanú sumu, kým to nebudete rešpektovať. Ale deyakі metódy pravdy sa môžu stať prútikom-viruchalochka, ako pomoc zapamätať si dôležité údaje. Nižšie sa s nimi môžete zoznámiť.
Program automatické obnovenie súbory (dekodér)
Vyzerá to ako mimoriadne zariadenie. Táto infekcia vymaže súbory z nešifrovaného zobrazenia. Proces šifrovania s metódou zdravia, taká hodnosť, zacielenie na ich kópie. Prečo dávame takú šancu problémy s programovaním jaka Data Recovery Pro obnoviť vymazané predmety, vrátiť nádej na ich prijatie je zaručené. Dôrazne sa odporúča prejsť na postup aktualizácie súborov, pretože účinnosť neznamená pochybnosti.
Tenké kópie zväzkov
Na základe prístupu bol prenesený postup Windows zálohovanie súbory, ktoré sa opakujú v kožnom bode inšpirácie. Umova je dôležitá roboti daný spôsob: Funkciu prebudenia systému je možné aktivovať až do okamihu infekcie. Kedykoľvek zmeníte súbor, po vykonaní bodov zmeny sa súbor nezobrazí v aktualizovanej verzii.
Zálohovanie
Toto je najlepšia stredná trieda, ktorá nevyhovuje všetkým metódam. Keďže postup zálohovania údajov na externý server bol pozastavený až do okamihu, keď sprievodca zaútočil na váš počítač, na obnovenie zašifrovaných súborov stačí prejsť na externé rozhranie a vybrať požadované súbory a spustiť mechanizmus na obnovu údajov z rezervy. Pred ukončením operácie je potrebné prehodnotiť, to znamená, že PZ je kompletne odstránený.
Prítomnosť nadbytočných komponentov v chladiči WannaCry je možné zvrátiť
Prečistenie v manuálny mód je plná vynechania niektorých fragmentov zdravého softvéru, pretože sa môžu skrývať pred zrakom skrytých objektov operačného systému alebo prvkov registra. Aby ste skryli riziko súkromných úspor pre iné shkidlivih prvky, skenujte svoj počítač za pomoci špičkového softvérového komplexu, ktorý sa špecializuje na škodlivý softvér.
Dešifrovanie
A os informácií mlčí, kto po zaplatení za dešifrovanie nemôže, pretože neexistujú žiadne informácie o nás hackeroch, upokojiť dušu ľudí a dešifrovať informácie po zaplatení ((((
A na hube boli informácie o princípe fungovania tlačidla Decrypt, ako aj o tých, ktoré páchatelia zla nemajú ako identifikovať koristuvachi, že opravili bielu guľu, a preto nebudeme nič tolerovať.
„Cryptor vytvára dva typy súborov: prvá polovica dňa je zašifrovaná 128-bitovým alternatívnym AES, počas ktorého sa kľúč na dešifrovanie pridá priamo do zašifrovaného súboru. Pre súbory zašifrované týmto spôsobom dostane kryptor príponu .wncyr Dešifrujem to rovnakým spôsobom, keď stlačím Dešifrovať. Hlavná hmotnosť šifrovaného rozšírenia otrimuє .wcrik A nie je tam žiadny kľúč.
Toto šifrovanie ide nad samotný súbor a súbor sa vytvorí na disku, kde je zašifrovaný súbor umiestnený, tento súbor je viditeľný. Zdá sa, že po dobu jednej hodiny existuje možnosť vykúpiť časť údajov pre ďalšie nástroje na obnovenie zmazania.
V boji proti takýmto pomôckam šifrovač neustále zapisuje na disk každú maličkosť, aby bolo vidieť miesto na disku na dokončenie súboru.
A prečo nemáte dostatok informácií o tom, ako zaplatiť za mechanizmy opätovného overenia, je to naozaj úžasné. Je to možné, môžete získať slušnú sumu (300 dolárov), ktorá je potrebná na takéto opätovné overenie.“
Tvorcovia vírusu WannaCry dostali timcha zakhist do bezduchej domény
Tvorcovia vírusu WannaCry, ktorý zasiahol počítače vo viac ako 70 krajinách, vydali jeho novú verziu. Má denný kód na navigáciu do hlúpej domény, pomocou ktorej bolo možné uložiť rozšírenie pôvodného vírusu, napíšte Motherboard. Vidanny si odniesol potvrdenie vzhľadu Nová verzia vírus v prítomnosti dvoch špecialistov, yakі vyvchali nové typy počítačovej infekcie. Jedným z nich je Costin Raiu, výskumník medzinárodného výskumného tímu Kaspersky Lab.
Fahivtsі nešpecifikoval, aké ďalšie zmeny boli WannaCry nahlásené.
Máj 2017 sa zapíše do análov histórie ako čierny deň pre službu informačnej bezpečnosti. Aký deň je svetlo uznania, že bezpečné virtuálne svetlo môže byť tendenčné a zúrivé. Vírus nazvem zdirnik Wanna decryptor alebo wantcry, keďže som kúpil viac ako 150 tisíc počítačov po celom svete. Výkyvy infekcií boli zaznamenané vo viac ako 100 krajinách. Samozrejme, globálna infekcia je nekontrolovateľná, ale infekcie sa počítajú v miliónoch. Ako široký vírus-zdirnika stále hučí okolo diakonov stroja, ale mor je stále zasiahnutý prúdmi a zvukmi.
WannaCry – aké to je byť chránený
Wanna decryptor je súčasťou skupiny vírusov, ako je šifrovanie údajov v počítači a vymáhanie centov od vlasnikov. Súčet sumy za nákup vašich dát sa spravidla pohybuje v rozmedzí 300 až 600 dolárov. V prospech vírusu a zoomu infikujte mestskú sieť lekárov vo Veľkej Británii, veľkú televíznu sieť v Európe a nainštalujte časť počítačov MVS Ruska. Zupiny zupdyaki šťastný zbіgu obstavin, registrácia reverznej domény, ktorá bola tvorcami šitá do kódu pre vírus yogo, pre manuálnu zupinka rozpovsyudzhennya.
Vírus infikuje počítač, ako vo väčšine prípadov. Listová ruža, sociálnych profilov a v podstate len surfovanie - qi spôsoby, ako poskytnúť vírusu schopnosť preniknúť do vášho systému a zašifrovať všetky vaše dáta, môže tiež preniknúť bez vašich explicitných akcií cez systémový rozstrek a otvorený port.
Preliezť WannaCry cez port 445, vplyv vikoristovuyuuchi v operačnom systéme Windows, pretože bol nedávno zablokovaný vydaním aktualizácií. Takže, ak máte uzavretý port alebo ste nedávno inovovali Windows. mieste, potom sa nemôžete pochváliť infekciou.
Vírus funguje za útočnou schémou - na nahradenie údajov z vašich súborov odoberiete neprimerané zárobky marťanskej bani a osou je vziať späť normálny počítač, zaplatiť zločincom. Tí, ktorí po tom, čo spustia mor na počítačoch obyčajných ľudí, sú platení bitcoinmi, potom sa nevzdajú pánov zlého Trojana. Ak nezaplatíte dobou, tak súčet vikupu rastie.
Nová verzia trójskeho koňa sa prekladá ako „chcem plakať“ a strata peňazí môže priviesť niektorých koristuvachiv k slzám. Preto je lepšie zvyknúť si na preventívne návštevy a zabrániť infekcii.
Nekonzistentnosť viktoristu šifrovania v systéme Windows, ktorý už Microsot ukradol. Od 14. februára 2017 stačí aktualizovať operačný systém na bezpečnostný protokol MS17-010.
Pred rečou to môže byť menej ako tých coristuvachi, ako keby mohli licencovať operačný systém. Ak sa k tomu nedostanete, jednoducho uchopte aktualizačný balík a nainštalujte ho manuálne. Len preto, aby sa využila potreba reverzných zdrojov, aby nedošlo k infekcii namiesto prevencie.
Zvichayno dobre, obranca môže byť najrovnejší, ale je príliš bohatý na to, aby si ľahol a videl samotného koristuvacha. Pamätajte, že nie je možné prezradiť podozrenia zo strany sily, ak sa k vám akýmkoľvek spôsobom dostanú, ani na sociálnom profile.
Yak vilikuvati virus Wanna decryptor
Tí, ktorých počítač je už infikovaný, sú vinní z toho, že sa pripravujú na kmeňový jasot.
Vírus sa spustí v počítači a vytvorí program. Jeden z nich začne šifrovať dáta, inak zabezpečí komunikáciu pred letcami. Na pracovnom monitore je napísaná správa vysvetľujúca vám, že ste sa stali obeťou vírusu a vysloviť viac peňazí. V tomto prípade nemôžete otvoriť súbor a prípony sú sčítané s neprimeranými písmenami.
Prvý deň, keď sa snažíte pestovať coristuvach - tse spomienka na tieto pre pomoc pri prebudení Služby systému Windows. Ale keď spustíte príkaz, nič sa nezobrazí alebo vaše úsilie bude zbytočné - Wanna Decryptor nebude také ľahké.
Jedným z najjednoduchších spôsobov, ako poraziť vírus, je jednoducho preinštalovať systém. S tým strávite nielen tie dansy, ako keby boli na disku nainštalovaný systém. Aje pre nový obväz, bude potrebné vykonať formátovanie celého pevný disk. Ak nie ste pripravení na takéto zásadné kroky, môžete skúsiť zmeniť systém manuálne:
- Získajte aktualizáciu pre systém, o yaku bolo napísané viac v článku.
- Dali je pripojený k internetu
- Spustite príkaz riadok cmd a blokovanie portu 445, pretože vírus prenikne do počítača. Bojujte s ofenzívnym tímom:
netsh advfirewall firewall pridať pravidlo dir=v akcii=blokovať protokol=tcp localport=445 name="Block_TCP-445" - Ďalej spustite systém v bezpečnostný mód. Keď začnete používať F8, naštartuje vás samotný systém, keďže spustíte samotný počítač. Je potrebné zvoliť "Núdzový režim".
- Priečinok s vírusom poznáme a vidíme, nájdete ho kliknutím na odkaz na vírus a stlačením „Otočiť súbor“.
- Reštartujte počítač v pôvodnom režime a nainštalujte aktualizáciu systému, ako sme chceli, zapnite internet a nainštalujte jogu.
Wanna cry - ako dešifrovať súbory
Hneď ako si uvedomíte všetky prejavy vírusu, je čas začať dešifrovať údaje. A ak si myslíte, že je to pohodlnejšie, budete veľmi milosrdní. V histórii je zaznamenaný pád, ak samotní tvorcovia šifrovej suity nedokázali pomôcť Koristuvachevovi, ktorý im zaplatil a pred službou ho opravil. technická podpora antivírus.
Najlepšou možnosťou je overiť všetky údaje. Od iba taká kópia nie je k dispozícii, potom sa môžete zlepšiť. A pomôže vám s dešifrovacími programami. Je pravda, že program nemôže zaručiť 100% výsledok.
Іsnuє kіlka jednoduché programy, takže sa môžete dostať do kontaktu s dešifrovaním dát, napríklad Shadow Explorer alebo Windows Data recovery. Pozrite sa tiež na Kaspersky Lab, ktoré pravidelne vydáva dešifrovače - http://support.kaspersky.ru/viruses/utility
Je to dôležité! Dešifrovacie programy spúšťajte až po odstránení všetkých prejavov vírusu, inak riskujete poškodenie systému alebo opätovné míňanie dát.
Chcete decryptor ukazuje, ako tenditnoy môže byť bezpečnostný systém, či už je to veľký podnik alebo suverénne zariadenie. Ten istý deň v mesiaci sa stal pre bohaté krajiny okázalým. Pred prejavom trpeli MVS Ruska iba tie stroje, ako víťazný Windows, a os týchto počítačov, na ktorých bol nainštalovaný ruský operačný systém, Elbrus nebol ovplyvnený.
Pomohol vám Wanna decryptor? Napíšte komentár do spodnej časti článku a zdieľajte ho s ostatnými.
Prihláste sa na odber nových článkov, aby ste to nezmeškali!
Ako počítač s operačnou sálou systém Windows bez opätovného zálohovania, potom môžete ušetriť peniaze na nové Vírus WannaCry. Kľúč k riešeniu spočíva v samotnom operačnom systéme, - hovoria špecialista na internetovú bezpečnosť Quarkslab Adrian Gine, svetový hacker Mette Suisch a nezávislý pracovník Benjamin Delpy. Systém sám zredukuje súbory po ukončení termínu, uznaného za úhradu poplatku. Táto metóda vyhráva u každého Verzie systému Windows. Nový nástroj na ochranu týchto fakhіvtsі s názvom Wanakiwi. V mojom blozі Matt Suisch zverejňuje podrobnosti o bodnutí otvorená metóda bojovať proti vírusu a popísať všetky technické detaily.
Nie všetky súbory nie sú aktualizované
Vysvetlím, prečo sú k dispozícii určité nástroje na dešifrovanie všetkých súborov zablokovaných WannaCry. Škoda, z našej analýzy fungovania zdravia vieme, že nástroj dokáže dešifrovať len niekoľko súborov zašifrovaných demo kľúčom.
Ale môžeš byť ako nádej. Súbory, ktoré sú uložené na pracovnej ploche, v priečinkoch Moje dokumenty alebo na čomkoľvek inom pamäťové disky počítače pod hodinou infekcie sa prepíšu údajmi generovanými údajmi a vymažú sa. Tse znamená, že nie je možné ich nahradiť pomocou aktualizácie súborov alebo aktualizácie disku.
Avšak prostredníctvom slabý S shkidlivy PZ môžete pridať ďalšie šifrované súbory do systému, ak bol smrad uložený za hranicami týchto troch miest, víťazí pre aktualizáciu disku, takže ako viac súborov sa presunie do časovej zložky a potom spravidla , vidia, ale nie sú prepísané. Koeficient obnovy je však možné upraviť v iné systémy, vymazanie súboru môže byť prepísané inými diskovými operáciami.
Stručne povedané, zdá sa, že môžete obnoviť niektoré súbory, ktoré boli zašifrované pomocou WannaCrypt, ale nezaplatili ste poplatok, ale počas tejto hodiny nie je možné obnoviť všetky súbory bez zálohy.
Ako poznámku k bezpečnosti buďte opatrní pri akýchkoľvek službách, ktoré dokážu dešifrovať všetky súbory atď., úlomky alebo dešifrovanie ako celok môžu byť pripojené pomocou programov shkidlivy.
Znovu sme overili obnovenie súborov pomocou aktualizácie disku Disk Drill, snímka obrazovky nižšie zobrazuje odstránené súbory, ako boli odhalené pomocou tohto nástroja:
Niektorí tvorcovia softvérových sprievodcov môžu kód omilostiť. Tieto milosti môžu pomôcť zraneným získať prístup k ich súborom po infekcii. Náš článok stručne popisuje počet odpustení povolených maloobchodníkmi WannaCry zdirnik.
Ospravedlňujeme sa v súbore logiky
Ak Wannacry zašifruje súbory na počítači obete, načíta pôvodný súbor, zašifruje ho a uloží súbor s príponou „.WNCRYT“. Po dokončení procesu šifrovania vína presuňte súbor s príponou „.WNCRYT“ do súboru „.WNCRY“ a odstráňte pôvodný súbor. Logika toho, ktorý pohľad sa dá zmeniť v dôsledku distribúcie a sily pôvodných súborov.
Pri umiestňovaní súborov na systémový disk:
Ak sa súbor nachádza v priečinku „dôležité“ (z pohľadu zdirnika napr. na pracovnom stole alebo v priečinku „Dokument“), tak pred jeho odstránením sa nad ním prepíšu údaje. Týmto spôsobom neexistujú žiadne spôsoby sťahovania v rovnakom súbore.
Ak je súbor uložený v „dôležitých“ priečinkoch, pôvodný súbor sa presunie do priečinka %TEMP%\%d.WNCRYT (de %d je číselná hodnota). Takýto súbor by mal byť vymazaný na základe údajov, na nich nie je nič napísané - vína sú jednoducho viditeľné z disku. K tomu je veľká možnosť, že sa môžete zaručiť za pomoc programu inšpirácie pre tieto.
Premenované pôvodné súbory, aby sa dali skopírovať z adresára %TEMP%.
Pri umiestňovaní súborov na iné (nesystémové) disky:
- Vimagach vytvorí priečinok „$RECYCLE“ a nastaví atribúty „attached“ a „system“. Výsledkom je, že priečinok sa v ňom stane neviditeľným Prieskumník systému Windows, pretože konfigurácia prieskumníka je uzamknutá. Podľa plánu sa pôvodné súbory po zašifrovaní presunú do tohto priečinka.
Procedúra, ktorá priradí časový adresár na uloženie pôvodných súborov pred odstránením
- Avšak vďaka synchronizácii v kóde chladiča sú pôvodné súbory v bohatých priečinkoch ponechané v rovnakom adresári a nie sú presunuté do priečinka $RECYCLE.
- Pôvodné súbory sa nezobrazujú bezpečne. Tsey fakt okradnúť môžeme obnoviť vymazať súbory pre pomocné programy na obnovu údajov.
Pôvodné súbory, ktoré je možné stiahnuť z nesystémového disku
Postup, ktorý generuje časovú cestu pre pôvodný súbor
Zobrazuje kód, ktorý volá popis postupu
Pardon za spracovanie spisov z ochrany evidencie
Analýzou WannaCry sme tiež ukázali, že zdravotník bol omilostený pri spracúvaní spisov z chráneného záznamu. Ak sú takéto súbory na infikovanom počítači, potom ich ani sniffer nezašifruje: vytvorí sa zašifrovaná kópia skinu takéhoto súboru a pôvodné súbory odstránia iba atribút „prílohy“. Pre takú dobu je ľahké poznať a rozpoznať ich normálne vlastnosti.
Pôvodné súbory nie sú zašifrované a nikam sa nepremiestňujú
Višnovki
Výsledkom nášho hlbokého vyšetrovania tohto zdirnika bolo jasné, že predajcovia začali s neosobnými milosťami a kvalita kódu bola nízka, keďže sme boli vymenovaní vyššie.
Ak bol váš počítač infikovaný vírusom WannaCry, existuje skvelá možnosť, ktorú môžete obnoviť zo zašifrovaných súborov. Pre koho môžete zrýchliť bezplatné služby aktualizácia súborov.
