โกลอฟนา
ฮาร์ดไดรฟ์ เมื่อวันที่ 12 พฤษภาคม เวลาประมาณ 13MSK “ระเบิด” ถูกจุดชนวน และไวรัส Wana Decryptor ก็เริ่มแพร่กระจายในเวลาเพียงไม่กี่ปี คอมพิวเตอร์หลายหมื่นเครื่องทั่วโลกก็ติดไวรัส
ปัจจุบันมีคอมพิวเตอร์ที่ติดไวรัสมากกว่า 45,000 เครื่องได้รับการยืนยันแล้ว
ติดเชื้ออยาก
ไวรัสร้องไห้ ตัวเข้ารหัสถูกระบุว่าเป็นคอมพิวเตอร์ของพนักงานหลัก และคอมพิวเตอร์ที่ทำงานขององค์กรต่างๆ รวมถึงกระทรวงกิจการภายในของรัสเซียน่าเสียดายที่ไม่มีวิธีถอดรหัสไฟล์ WNCRY แต่คุณสามารถลองใช้โปรแกรม vikory เช่น ShadowExplorer และ PhotoRec ได้ ชื่อที่ถูกต้องสำหรับไวรัสเข้ารหัสนี้คืออะไร: Wana Decryptor, WanaCrypt0r, Wanna Cry หรือ Wana Decrypt0rนับตั้งแต่การตรวจพบไวรัสครั้งแรก ข้อมูลต่างๆ มากมายเกี่ยวกับไวรัสเข้ารหัสนี้ก็ได้ปรากฏขึ้น และมักถูกเรียกด้วยชื่อที่แตกต่างกัน
สิ่งนี้เกิดขึ้นจากหลายสาเหตุ
ก่อนที่ไวรัส Wana Decrypt0r จะปรากฏขึ้น มี Wanna Decrypt0r เวอร์ชันแรก ซึ่งคุณสมบัติหลักคือวิธีการขยายแบบสตรีมมิ่ง (2.0)
ตัวเลือกแรกนี้ไม่ได้รับความนิยมอย่างกว้างขวางเท่ากับน้องชายหรือที่รู้จักในข่าวอื่น
ไวรัสสายพันธุ์ใหม่
coder ตั้งชื่อตามพี่ชายของเขาและ
อยากร้องไห้
เมื่อไวรัส WNCRY เริ่มทำงาน มันจะแตกไฟล์ติดตั้งทันทีซึ่งมีไฟล์ต่อไปนี้:
ข.wnry
ค.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
งาน.exe
คุณไม่สบายใจ
หลังจากนั้นมีข้อความจากไฟล์เก็บถาวรเกี่ยวกับการซื้อคอมพิวเตอร์ของฉัน
ปัจจุบัน Wana Decrypt0r รองรับภาพยนตร์ต่อไปนี้:
บัลแกเรีย, จีน (ตัวย่อ), จีน (ดั้งเดิม), โครเอเชีย, เช็ก, เดนมาร์ก, ดัตช์, อังกฤษ, ฟิลิปปินส์, ฟินแลนด์, ฝรั่งเศส, เยอรมัน, กรีก, อินโดนีเซีย, อิตาลี, ญี่ปุ่น, เกาหลี, ลัตเวีย, นอร์เวย์, โปแลนด์, โปรตุเกส, โรมาเนีย, รัสเซีย, สโลวัก, สเปน, สวีเดน, ตุรกี, เวียดนาม ถัดไป ไวรัส WanaCrypt0r บุกรุกเบราว์เซอร์ TOR ซึ่งใช้ในการสื่อสารกับเซิร์ฟเวอร์ควบคุมไวรัสเข้ารหัสเมื่อกระบวนการนี้สิ้นสุดลง ไวรัสจะออกคำสั่ง ซึ่งจะสร้างการเข้าถึงไดเร็กทอรีและไฟล์ทั้งหมดที่สามารถเข้าถึงได้อย่างถาวร
นี่เป็นสิ่งจำเป็นเพื่อเข้ารหัสให้ได้มากที่สุด
ไฟล์เพิ่มเติม
บนคอมพิวเตอร์ที่ติดไวรัส
ในขั้นตอนนี้ WanaDecryptor จะยุติกระบวนการด้วยชื่อต่อไปนี้: mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.* เพื่อเข้ารหัสฐานข้อมูลทั้งหมดที่อยู่บนคอมพิวเตอร์ที่ติดไวรัส
หากไฟล์ถูกเข้ารหัส นามสกุล “.WNCRY” จะถูกเพิ่มเข้าไปในชื่อ
หากชื่อไฟล์คือ “picture.bmp” ก่อนที่จะถูกเข้ารหัส หลังจากเข้ารหัสไฟล์แล้ว ชื่อไฟล์จะเปลี่ยนเป็น “picture.bmp.WNCRY” หากไฟล์ทั้งหมดในไดเร็กทอรีถูกเข้ารหัส ไวรัสเข้ารหัสจะวางไฟล์อีกสองสามไฟล์ไว้ในไดเร็กทอรีเดียวกัน ดังนั้น @[ป้องกันอีเมล] หากไฟล์ทั้งหมดในไดเร็กทอรีถูกเข้ารหัส ไวรัสเข้ารหัสจะวางไฟล์อีกสองสามไฟล์ไว้ในไดเร็กทอรีเดียวกัน ดังนั้น @— วางคำแนะนำในการถอดรหัสไฟล์และ @
- Decryptor ของไฟล์ที่เข้ารหัส
ในขั้นตอนสุดท้ายของการทำงาน ไวรัส WanaDecryptor จะพยายามลบ Shadow Copy ของไฟล์ทั้งหมด และยังมีความสามารถในการอัปเดตไฟล์ที่เข้ารหัสไว้ก่อนหน้านี้อีกด้วย
เนื่องจากการดำเนินการนี้ต้องการสิทธิ์เต็มรูปแบบ ระบบปฏิบัติการจึงแสดงบริการ UAC ล่วงหน้า
ด้วยเหตุนี้ ตราบใดที่คุณใช้ระบบสำรองข้อมูลเสมือน Shadow Copy ของไฟล์จะไม่ถูกลบ และคุณจะสามารถต่ออายุไฟล์ที่เข้ารหัสได้โดยไม่มีความเสี่ยง ควรรายงานการยืนยันเรื่องนี้ไปยังผู้สนับสนุนในฟอรัมของแฟนคลับโปรแกรมป้องกันไวรัส Kasperskyจะอัพเดตไฟล์ที่เข้ารหัส WNCRY ได้อย่างไร?
ตามที่กล่าวไว้ข้างต้น คุณสามารถย้อนกลับไฟล์ของคุณที่เข้ารหัสด้วย WanaDecryptor ด้วยไวรัสเข้ารหัสได้อย่างปลอดภัย โดยใช้โปรแกรมพิเศษ เช่น ShadowExplorer และ PhotoRec
กระบวนการโดยละเอียดของคำอธิบายมีอยู่ในคู่มือนี้ หากคุณไม่มีอาหารหรือต้องการความช่วยเหลือ คุณสามารถสร้างได้หัวข้อใหม่
ในฟอรัมของเราหรือลบความคิดเห็นด้านล่าง ฉันจะป้องกันคอมพิวเตอร์ของฉันจากการติดไวรัส Wana Decryptor ได้อย่างไรคุณต้องปิดการรั่วไหลตอนนี้ ระบบปฏิบัติการสามารถดูข้อมูลอัพเดตการติดตั้งสำหรับ MS17-010 ที่ส่งถึงคุณได้ในหน้าบทความนี้
หากไม่สามารถติดตั้งการอัปเดตได้ ให้เปิดโปรโตคอล SMBv1 (วิธีปิด SMBv1, ส่ง) หรือบล็อกการเชื่อมต่อขาเข้าไปยังพอร์ต 445 ที่ไฟร์วอลล์
เพื่อจัดระเบียบการป้องกันคอมพิวเตอร์ของคุณอย่างสมบูรณ์ คุณจะต้องมีอย่างน้อยที่สุด
โปรแกรมป้องกันไวรัสที่ไม่มีค่าใช้จ่าย
(สงสัยในบทความนี้) และโปรแกรมต่อสู้กับ PZ ที่ไม่ได้ผลกำไร (สงสัยในบทความนี้) เราขอแนะนำให้คุณเป็นสมาชิกของ Zemana Anti-malware หรือ Malwarebytesโปรแกรมเหล่านี้เวอร์ชันใหม่กว่ายังรวมอยู่ด้วย
การรั่วไหลนี้ถูกปกคลุมไปด้วยแผ่นปะ MS17-010(การอัปเดตความปลอดภัยสำหรับ Windows SMB Server) 14 กุมภาพันธ์ 2560(สิ่งที่คุณเปิดอยู่ การอัปเดตอัตโนมัติจากนั้นติดตั้งแพตช์ด้วยตนเอง)
ปรับปรุงการจัดการด้านความปลอดภัย
แยกpratsyuє วนาถอดรหัส
บริการวิเคราะห์มัลแวร์อัตโนมัติฟรี - ขับเคลื่อนโดย VxStream Sandbox - ดูผลการวิเคราะห์ไฟล์ออนไลน์สำหรับ "@ หากไฟล์ทั้งหมดในไดเร็กทอรีถูกเข้ารหัส ไวรัสเข้ารหัสจะวางไฟล์อีกสองสามไฟล์ไว้ในไดเร็กทอรีเดียวกัน ดังนั้น @"
เมื่อคุณเปิดใช้งานเป็นครั้งแรก ไฟล์จะถูกดาวน์โหลดจากโฟลเดอร์เดียวกันกับตัวติดตั้ง เก็บไฟล์รหัสผ่าน 7zip
ไฟล์ที่ vikorist ในหุ่นยนต์ของ PZ ผู้ใจดี
ปัจจุบัน Wana Decrypt0r รองรับภาพยนตร์ต่อไปนี้: บัลแกเรีย, จีน (ตัวย่อ), จีน (ดั้งเดิม), โครเอเชีย, เช็ก, เดนมาร์ก, ดัตช์, อังกฤษ, ฟิลิปปินส์, ฟินแลนด์, ฝรั่งเศส, เยอรมัน, กรีก, อินโดนีเซีย, อิตาลี, ญี่ปุ่น, เกาหลี, ลัตเวีย, นอร์เวย์, โปแลนด์, โปรตุเกส, โรมาเนีย, รัสเซีย, สโลวัก, สเปน, สวีเดน, ตุรกี, เวียดนาม,ต้าหลี่ผู้ที่รู้เกี่ยวกับการซื้อ Vikoryst จะมีภาษาเดียวกับที่ Vikoristy ซื้อคอมพิวเตอร์
WanaCrypt0r
ติดตั้งเบราว์เซอร์ TOR (ดาวน์โหลด Tor) ซึ่งใช้ในการสื่อสารกับเซิร์ฟเวอร์ควบคุมไวรัสเข้ารหัส
เมื่อกระบวนการนี้สิ้นสุดลง ไวรัสจะออกคำสั่ง ซึ่งจะสร้างการเข้าถึงไดเร็กทอรีและไฟล์ทั้งหมดที่สามารถเข้าถึงได้อย่างถาวร
CMD/แบทช์:
WanaCrypt0r
อิคาคลิส.
/ให้สิทธิ์ทุกคน:F /T /C /Q
นี่เป็นสิ่งจำเป็นเพื่อเข้ารหัสไฟล์ในคอมพิวเตอร์ที่ติดไวรัสให้ได้มากที่สุด
ดังนั้นคุณจึงสามารถดำเนินการตามกระบวนการต่อไปนี้ให้เสร็จสิ้นได้:
บนคอมพิวเตอร์ที่ติดไวรัส
Taskkill.exe /f /im mysqld.exe Taskkill.exe /f /im sqlwriter.exe Taskkill.exe /f /im sqlserver.exe Taskkill.exe /f /im MSExchange* Taskkill.exe /f /im Microsoft.Exchange -ให้เราเข้ารหัสฐานข้อมูล 
Zdirnik เข้ารหัสไฟล์ด้วยนามสกุลขั้นสูง
- @หากไฟล์ทั้งหมดในไดเร็กทอรีถูกเข้ารหัส ไวรัสเข้ารหัสจะวางไฟล์อีกสองสามไฟล์ไว้ในไดเร็กทอรีเดียวกัน ดังนั้น @รหัส:
- @หากไฟล์ทั้งหมดในไดเร็กทอรีถูกเข้ารหัส ไวรัสเข้ารหัสจะวางไฟล์อีกสองสามไฟล์ไว้ในไดเร็กทอรีเดียวกัน ดังนั้น @ไฟล์ที่เข้ารหัสจะมีนามสกุลเพิ่มเติม
WanaCrypt0r
จากนั้น ลองทำความสะอาด Shadow Copy และตัวเลือกอื่นๆ เพื่ออัปเดตไฟล์ด้วยไฟล์ใหม่
โดยวินโดวส์(กำลังปรับปรุงระบบ
หากคุณกดปุ่มชำระเงินด้วยเช็ค ผู้ใช้จะเชื่อมต่อกับเซิร์ฟเวอร์ TOR C2 เพื่อตรวจสอบว่าการชำระเงินได้รับการยอมรับแล้ว เมื่อชำระเงินแล้ว ไฟล์จะถูกถอดรหัสโหมดอัตโนมัติ
หากไม่ดำเนินการชำระเงิน คุณจะได้รับการยืนยันคล้ายกับข้อความด้านล่าง
จะถอดรหัสไฟล์หลังจาก WanaCrypt0r ได้อย่างไร? ยักโชอินขับเคลื่อนโดย UAC
หากคุณเห็นด้วยเราจะช่วยเหลือ โปรแกรม ShadowExplorer ก็สามารถช่วยได้เช่นกันบน
ช่วงเวลาแห่งเดนมาร์ก
- ไม่สามารถถอดรหัสไฟล์ได้หากไม่ได้รับความช่วยเหลือจากผู้ประสงค์ร้าย แต่สามารถล้าง Shadow Copy ได้
- จะหลีกเลี่ยงการติดไวรัสจากตัวเข้ารหัส vimagach ได้อย่างไร ไม่มีการป้องกันที่สมบูรณ์อย่าทวีตโดยอัตโนมัติ
- อัพเดตวินโดวส์
- สิ่งนี้ช่วยให้คุณปิดระบบปฏิบัติการได้อย่างรวดเร็ว (มากหรือน้อย) Vikorist โปรแกรมป้องกันไวรัสของคุณหรือเตรียมพร้อมจนกว่าระบบเดิมจะหมดสิ้นไปอย่าวางใจ
- ไม่มีใคร ในเวลาเดียวกัน อย่าเปิดไฟล์ที่ไม่ได้รับการยืนยันซึ่งคุณดาวน์โหลดมาโดยไม่มีการสแกนไวรัสการสำรองข้อมูล Vikorist และอะไร
ให้ความเคารพต่อโภชนาการและความปลอดภัยของสำเนามากขึ้น โปรแกรมที่จะช่วยคุณถอนการติดตั้งการเปิดใช้งานตัวเข้ารหัส -วอนนาคราย
โปรแกรมพิเศษ
ซึ่งบล็อกข้อมูลทั้งหมดในระบบและลบไฟล์เพียงสองไฟล์ออกจากระบบ: คำแนะนำเกี่ยวกับสิ่งที่ต้องทำต่อไปและโปรแกรม Wanna Decryptor เอง - เครื่องมือสำหรับการปลดล็อคข้อมูลบริษัทรักษาความปลอดภัยคอมพิวเตอร์ส่วนใหญ่มีเครื่องมือถอดรหัสการเข้ารหัสที่สามารถเอาชนะโปรแกรมความปลอดภัยได้ แม้แต่มนุษย์ส่วนใหญ่ก็ยังไม่ทราบวิธีการ "โกง"โปรแกรมถอดรหัส WannaCry (หรืออย่างอื่น
WinCry, WannaCry, .wcry, WCrypt
, WNCRY, WanaCrypt0r 2.0),
โดยพื้นฐานแล้ว WinCry (WannaCry) เป็นการใช้ประโยชน์จากตระกูล EternalBlue ซึ่งใช้ระบบปฏิบัติการ Windows เวอร์ชันเก่า (Windows XP, Windows Vista, Windows 7, Windows 8 และ Windows 10) และเข้าสู่ระบบในโหมด "เงียบ" .
ดังนั้น การใช้อัลกอริธึมเพิ่มเติมที่ทนทานต่อการถอดรหัส ข้อมูลของไคลเอนต์ (เอกสาร รูปภาพ วิดีโอ สเปรดชีต ฐานข้อมูล) จะถูกเข้ารหัส และจะมีการจ่ายราคาสำหรับการถอดรหัสข้อมูล
โครงการนี้ไม่ใช่เรื่องใหม่ เราเขียนเกี่ยวกับการเข้ารหัสไฟล์ประเภทใหม่อยู่ตลอดเวลา แต่วิธีการขยายนั้นใหม่
และนี่ก็ทำให้เกิดโรคระบาด ไวรัสทำงานอย่างไรโปรแกรมที่ดาวน์โหลดได้จะสแกนอินเทอร์เน็ตเพื่อหาโหนดบนคอมพิวเตอร์ที่มีพอร์ต TCP 445 แบบเปิด ซึ่งให้บริการโปรโตคอล SMBv1
เมื่อระบุคอมพิวเตอร์ดังกล่าวแล้ว โปรแกรมจะพยายามใช้ประโยชน์จาก EternalBlue เวอร์ชันใหม่ และหากสำเร็จ โปรแกรมจะติดตั้งแบ็คดอร์ DoublePulsar ซึ่งเป็นที่โหลดและเรียกใช้โปรแกรม WannaCry เมื่อใดก็ตามที่คุณพยายามใช้งาน โปรแกรมที่เป็นอันตรายจะตรวจสอบการมีอยู่บนคอมพิวเตอร์ DoublePulsar เป้าหมาย และหากตรวจพบ ก็จะเข้าถึงผ่านประตูหลังได้ทันทีก่อนกล่าวสุนทรพจน์โดยไม่ได้ยึดเส้นทางในแต่ละวัน โปรแกรมป้องกันไวรัสผู้ใช้ที่เป็นอันตรายและถูกส่งไปยังพวกเขาเพื่อควบคุมเซิร์ฟเวอร์ที่ทำงานภายในกรอบงาน Tor หลังจากนั้นคีย์ทั้งหมดจากหน่วยความจำของเครื่องที่ติดไวรัสจะถูกลบ เมื่อเสร็จสิ้นกระบวนการเข้ารหัสแล้ว โปรแกรมจะแสดงหน้าต่างพร้อมตัวเลือกในการโอนผลรวมเป็น bitcoins (เทียบเท่า 300 ดอลลาร์สหรัฐ) ไปยังบัญชีธนาคารภายในสามวันหากไม่พบค่าไถ่ทันที จำนวนเงินจะถูกริบโดยอัตโนมัติ
ในวันที่เจ็ด เนื่องจาก WannaCry จะไม่ถูกลบออกจากระบบที่ติดไวรัส ไฟล์ที่เข้ารหัสจะสูญหาย ข้อความจะปรากฏขึ้นตามที่ติดตั้งบนคอมพิวเตอร์ของคุณโปรแกรมนี้ได้รับการสนับสนุนโดย mov 28 ควบคู่ไปกับโปรแกรมเข้ารหัสให้สแกนที่อยู่อินเทอร์เน็ตเพิ่มเติมและมาตรการท้องถิ่น เพื่อการติดไวรัสคอมพิวเตอร์เครื่องใหม่ต่อไปจากการวิจัยของบริษัทไซแมนเทค อาชญากรใช้อัลกอริธึมเพื่อชำระเงินเป็นรายบุคคลให้กับเหยื่อแต่ละราย และส่งกุญแจสำหรับถอดรหัสการขายด้วยความเมตตาต่อการแข่งขัน
หากคุณชำระเงินอย่างปลอดภัย คีย์แต่ละอันจะไม่ถูกส่งและไฟล์จะไม่ได้รับการเข้ารหัส อย่างไรก็ตาม มีวิธีที่เชื่อถือได้ในการถอดรหัสไฟล์ส่วนบุคคลที่มีขนาดเล็กกว่า 200 MB และยังมีโอกาสกู้คืนไฟล์ขนาดใหญ่อีกด้วยนอกจากนี้ ในระบบ Windows XP รุ่นเก่า วินโดวส์เซิร์ฟเวอร์- เมื่อวันที่ 14 พฤษภาคม โดเมนอื่นได้รับการจดทะเบียน ไวรัสเวอร์ชันปัจจุบันมีกลไกในการทำลายตัวเองซึ่งไม่ได้ถูกสร้างขึ้นในโค้ดโปรแกรมเอาท์พุต แต่โดยการแก้ไขไฟล์ซึ่งช่วยให้คุณสรุปได้ว่าการแก้ไขนี้ไม่ได้เกิดจากผู้เขียน WannaCry ดั้งเดิม แต่ ผู้กระทำความผิดบุคคลที่สามอันเป็นผลมาจากความเสียหายของกลไกการเข้ารหัสทำให้
เวอร์ชันที่ให้มา หากคุณตระหนักถึงการรั่วไหลของคอมพิวเตอร์ คุณสามารถช่วยเหลือตัวเองได้มากกว่านี้ แทนที่จะก่อให้เกิดอันตรายร้ายแรงความเร็วสูงของส่วนขยาย WannaCry ซึ่งมีลักษณะเฉพาะสำหรับซอฟต์แวร์ที่ใช้ซอฟต์แวร์นั้นได้รับการรับรองโดยการใช้ระบบปฏิบัติการ SMB ซึ่งเผยแพร่ในต้นปี 2560 ไมโครซอฟต์ วินโดวส์คำอธิบายในกระดานข่าว MS17-010
เช่นเดียวกับในรูปแบบคลาสสิกโปรแกรมคอมพิวเตอร์จะส่งการกระทำของนักพัฒนาเองไปยังคอมพิวเตอร์โดยตรงผ่าน
อีเมล
หรือข้อความในเว็บ ในตอนของ WannaCry ชะตากรรมของโคริสตูวัคถูกปิดลงอย่างสิ้นเชิง
- เวลาระหว่างการตรวจจับคอมพิวเตอร์ที่รั่วไหลและการติดไวรัสเพิ่มเติมจะใกล้เคียงกับ 3 hvilin
- บริษัทผู้ค้าปลีกได้ยืนยันว่ามีการรั่วไหลในผลิตภัณฑ์ฮาร์ดแวร์และเซิร์ฟเวอร์ทั้งหมดที่สามารถใช้โปรโตคอล SMBv1 ได้ โดยเริ่มจาก Windows XP/Windows Server 2003 และลงท้ายด้วย Windows 10/Windows Server 2016 เมื่อวันที่ 14 มกราคม 2017 Microsoft ได้เปิดตัว a ชุดระบบปฏิบัติการที่อัปเดต
- หลังจากการปรากฏตัวของ WannaCry บริษัทได้ดำเนินการอย่างที่ไม่เคยมีมาก่อนด้วยการปล่อยอัพเดตครั้งที่ 13 สำหรับผลิตภัณฑ์สนับสนุน (Windows XP, Windows Server 2003 และ Windows 8)
ไวรัส WannaCry มีอยู่ทั่วทุกที่ ไวรัสสามารถแพร่กระจายได้หลายวิธี:ผ่านเครือข่ายคอมพิวเตอร์เครื่องเดียว
ทางไปรษณีย์
ผ่านเบราว์เซอร์
โดยเฉพาะอย่างยิ่งฉันยังไม่ชัดเจนว่าทำไม
คุณจะป้องกันพีซีของคุณจากการติด WannaCry Decryptor ได้อย่างไร?
ขอระบบปฏิบัติการที่อัพเดตจากเว็บไซต์ Microsoft
ขี้อายแค่ไหนพีซีของคุณติดไวรัสหรือไม่?
ทำตามคำแนะนำด้านล่างเพื่อลองกู้คืนข้อมูลบางส่วนบนพีซีที่ติดไวรัส
อัปเดตโปรแกรมป้องกันไวรัสของคุณและติดตั้งแพตช์ระบบปฏิบัติการ
ตัวถอดรหัสสำหรับไวรัสนี้ยังไม่เกิดขึ้นตามธรรมชาติ เราไม่แนะนำอย่างยิ่งที่จะไม่จ่ายค่าไถ่ให้กับนักหลอกลวงที่เป็นอันตราย - ไม่มีการรับประกันว่าพวกเขาจะถอดรหัสข้อมูลของคุณหลังจากลบค่าไถ่แล้วเครื่องมือเข้ารหัส Vidality WannaCry สำหรับการทำความสะอาดอัตโนมัติ วินยัตโคโววิธีการที่มีประสิทธิภาพ
- หุ่นยนต์เหล่านี้เต็มไปด้วยซอฟต์แวร์ฟรีและซอฟต์แวร์ที่ใช้ซอฟต์แวร์การใช้สารเคมีที่ซับซ้อนซึ่งได้รับการพิสูจน์แล้วรับประกันความน่าเชื่อถือในการตรวจพบส่วนประกอบของไวรัสรวมถึง มุมมองภายนอกแค่คลิกที่ฉัน โปรดจำไว้ว่า มีกระบวนการที่แตกต่างกันสองกระบวนการที่เกี่ยวข้อง: การถอนการติดตั้งการติดไวรัสและการอัพเดตไฟล์บนพีซีของคุณ .
- ภัยคุกคามนี้ยังคงปรากฏให้เห็นอย่างต่อเนื่อง เนื่องจากมีรายงานการนำโทรจันคอมพิวเตอร์เครื่องอื่นมาช่วย ใช้โปรแกรมตรวจจับไวรัส WannaCry- หลังจากเริ่มซอฟต์แวร์แล้ว ให้กดปุ่ม
เริ่มการสแกนคอมพิวเตอร์
(เริ่มการสแกน)
สร้างโปรแกรมเพื่อดูเครื่องมือเข้ารหัส วอนนาครายโปรแกรมความปลอดภัยที่ติดตั้งจะแจ้งเตือนคุณเมื่อตรวจพบภัยคุกคาม
หากต้องการดูภัยคุกคามที่ทราบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(อูซูนูตีขู่). ลองดูโปรแกรมรักษาความปลอดภัยที่ไม่ดีแล้วคุณจะเห็นมันทั้งหมดต่ออายุการเข้าถึงไฟล์ที่เข้ารหัส
ตามที่ระบุไว้ โปรแกรม no_more_ransom จะล็อคไฟล์โดยใช้อัลกอริธึมการเข้ารหัสที่รัดกุม เพื่อไม่ให้ข้อมูลที่เข้ารหัสไม่สามารถต่ออายุด้วยไม้กายสิทธิ์ได้ - เพราะคุณไม่จำเป็นต้องจ่ายค่าไถ่ในจำนวนที่ไม่คาดคิด
วิธีการทั้งหมดนี้สามารถเป็นไม้กายสิทธิ์ที่จะช่วยคุณต่ออายุข้อมูลสำคัญได้อย่างแท้จริง การสำรองข้อมูลไฟล์ที่ถูกทำซ้ำ ณ จุดสกินของการต่ออายุ จิตใจเป็นสิ่งสำคัญโรโบติ วิธีนี้: ฟังก์ชั่น “System Update” อาจยังคงทำงานอยู่จนกว่าจะถึงช่วงที่เกิดการติดเชื้อ
ถ้ามีการเปลี่ยนแปลงใดๆ ในไฟล์หลังจากจุดอัพเดต เวอร์ชันที่อัพเดตของไฟล์จะไม่แสดงขึ้นมา
สำเนาสำรอง ซึ่งไม่น่าจะเกี่ยวข้องกับวิธีการต่างๆ รวมกันเนื่องจากขั้นตอนการสำรองข้อมูลไปยังเซิร์ฟเวอร์ภายนอกถูกหยุดไว้จนกระทั่งถูกโจมตีคอมพิวเตอร์ของคุณ หากต้องการอัปเดตไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องไปที่อินเทอร์เฟซภายนอก ให้เลือก
ไฟล์ที่จำเป็น
จากนั้นจึงเริ่มกลไกการอัพเดตข้อมูลจากสำรอง ก่อนที่จะเสร็จสิ้นการดำเนินการ จำเป็นต้องกำหนดค่าใหม่เพื่อให้ PZ ถูกลบออกทั้งหมดตรวจสอบการมีอยู่ของส่วนประกอบส่วนเกินของภาพยนตร์ WannaCry ที่เป็นไปได้
การทำให้บริสุทธิ์ใน
โหมดแมนนวล
เต็มไปด้วยการละเว้นหลายส่วนของซอฟต์แวร์ต้นฉบับซึ่งอาจหายไปจากวัตถุที่ซ่อนอยู่ของระบบปฏิบัติการหรือองค์ประกอบรีจิสทรี
เพื่อหลีกเลี่ยงความเสี่ยงในการบันทึกสิ่งของมีค่าบ่อยครั้ง ให้สแกนคอมพิวเตอร์ของคุณเพื่อหาชุดซอฟต์แวร์ที่เชื่อถือได้ซึ่งเชี่ยวชาญด้านซอฟต์แวร์ที่เป็นอันตราย การถอดรหัสและแกนข้อมูลของผู้ที่จ่ายเงินสำหรับการถอดรหัสหายไปเนื่องจากไม่มีข้อมูลเกี่ยวกับความตั้งใจของแฮกเกอร์ที่จะสงบจิตใจของผู้คนและถอดรหัสข้อมูลหลังการชำระเงิน (((( เมื่อใดก็ตามที่คุณพยายามใช้งาน โปรแกรมที่เป็นอันตรายจะตรวจสอบการมีอยู่บนคอมพิวเตอร์ DoublePulsar เป้าหมาย และหากตรวจพบ ก็จะเข้าถึงผ่านประตูหลังได้ทันทีนอกจากนี้บนฮับยังมีข้อมูลเกี่ยวกับหลักการทำงานของปุ่มถอดรหัสรวมถึงข้อเท็จจริงที่ว่าอาชญากรไม่มีทางระบุผู้เล่นที่ส่งลูกคิวซึ่งหมายความว่าเราจะไม่ยอมรับสิ่งใดจากใครเลย
“ผู้เข้ารหัสสร้างไฟล์สองประเภท: ส่วนแรกถูกเข้ารหัสโดยใช้ AES 128 บิต โดยที่คีย์ถอดรหัสที่สร้างขึ้นจะถูกเพิ่มลงในไฟล์ที่เข้ารหัสโดยตรง
สำหรับไฟล์ที่เข้ารหัสโดยใช้วิธีนี้ cryptor จะให้นามสกุล
และเหตุใดจึงยังไม่มีข้อมูลที่จำเป็นสำหรับกลไกการชำระเงินและการตรวจสอบจึงเป็นเรื่องที่น่าแปลกใจอย่างแท้จริง
บางทีอาจมีเงินจำนวนพอสมควร ($300) ที่จำเป็นสำหรับการตรวจสอบดังกล่าว”
ผู้สร้างไวรัส WannaCry เอาชนะการปิดโดเมนที่ดูเหมือนไร้สมองได้ยาวนานถึงหนึ่งชั่วโมง ผู้สร้างไวรัส WannaCry ซึ่งส่งผลกระทบต่อคอมพิวเตอร์ในกว่า 70 ประเทศได้เปิดตัวเวอร์ชันใหม่แล้วเธอมีโค้ดรายวันสำหรับการขยายโดเมนไปสู่ระดับใหม่เพื่อช่วยป้องกันไม่ให้ไวรัสตัวเดิมขยายตัวเขียนว่าเมนบอร์ด
Vidannya ถอนการยืนยันการปรากฏตัว
เวอร์ชันใหม่
ไวรัสถูกระบุโดยผู้เชี่ยวชาญสองคน ซึ่งรับผิดชอบตอนใหม่ของการติดเชื้อในคอมพิวเตอร์
หนึ่งในนั้นคือ Costin Raiu สมาชิกทีมสืบสวนระดับนานาชาติของ Kaspersky Lab
ผู้ปลอมแปลงไม่ได้ระบุว่า WannaCry มีการเปลี่ยนแปลงอื่น ๆ หรือไม่ ปี 2017 จะจางหายไปในบันทึกประวัติศาสตร์ในฐานะวันที่มืดมนสำหรับบริการรักษาความปลอดภัยข้อมูลโลกค้นพบในวันใดว่าแสงเสมือนที่ปลอดภัยสามารถดูแลและเทลงมาได้
ปีน WannaCry ผ่านพอร์ต 445, vikorista และการรั่วไหลในระบบปฏิบัติการ Windows ซึ่งเพิ่งถูกปิดโดยการอัปเดตที่เผยแพร่
ดังนั้นพอร์ตนี้จึงถูกปิดหรือคุณเพิ่งอัปเกรด Windows จากสำนักงาน
ไซต์นั้น คุณจึงไม่ต้องกังวลเรื่องการติดเชื้อ
ไวรัสดำเนินตามแผนการที่น่ารังเกียจ - คุณจะแทนที่ข้อมูลในไฟล์ของคุณ คุณจะเอารายได้ที่โง่เขลาของเหมือง Martian ออกไป และเพื่อที่จะได้คอมพิวเตอร์ปกติของคุณกลับคืนมา คุณจะต้องจ่ายเงินให้กับอาชญากร บรรดาผู้ที่ปล่อยโรคระบาดนี้บนคอมพิวเตอร์ของคนทั่วไปและทำกำไรด้วยการจ่ายเป็น bitcoin จะไม่สามารถหลบเลี่ยงผู้ปกครองของโทรจันที่ชั่วร้ายได้
หากคุณไม่จ่ายเป็นเงินสด เงินของคุณก็จะเพิ่มมากขึ้น
โทรจันเวอร์ชันใหม่แปลว่า “ฉันอยากจะร้องไห้” และการสูญเสียข้อมูลอาจทำให้แฮกเกอร์บางคนน้ำตาไหลได้
ดังนั้นจึงควรมีมาตรการป้องกันและป้องกันการติดเชื้อจะดีกว่า
เครื่องมือเข้ารหัสมีให้ใช้งานบนระบบ Windows เนื่องจาก Microsot ได้เปิดตัวแล้ว
คุณเพียงแค่ต้องอัปเดตระบบปฏิบัติการเป็นโปรโตคอลความปลอดภัย MS17-010 ลงวันที่ 14 มกราคม 2017
ก่อนที่จะพูด เฉพาะไคลเอนต์ที่ใช้ระบบปฏิบัติการที่ได้รับลิขสิทธิ์เท่านั้นที่สามารถอัปเดตได้ หากคุณไม่สนใจเรื่องดังกล่าว เพียงดาวน์โหลดแพ็คเกจอัพเดตและติดตั้งด้วยตนเองสิ่งสำคัญคือต้องแน่ใจว่ามีความต้องการทรัพยากรที่ได้รับการตรวจสอบเพื่อไม่ให้การติดเชื้อเข้ามาแทนที่การป้องกัน
แน่นอนว่าซาคิสต์อาจมีตำแหน่งสูงสุด แต่ก็ยังมีอีกหลายสิ่งที่ต้องพบอยู่ในมือของโคริสตูวัคเอง โปรดจำไว้ว่าคุณไม่สามารถเปิดข้อความน่าสงสัยที่ส่งถึงคุณทางไปรษณีย์หรือผ่านโปรไฟล์โซเชียลของคุณได้วิธีลบไวรัสถอดรหัส Wanna ผู้ที่คอมพิวเตอร์ติดไวรัสแล้วจะต้องเตรียมตัวสำหรับการเฉลิมฉลองอันเจ็บปวด- หากคุณไม่พร้อมสำหรับมาตรการที่รุนแรงดังกล่าว คุณสามารถลองปิดการใช้งานระบบด้วยตนเอง:
- รับการอัปเดตสำหรับระบบตามที่สถิติเขียนไว้เพิ่มเติม
- จากนั้นเราเชื่อมต่ออินเทอร์เน็ต
- มาเริ่มบรรทัดคำสั่งกัน แถว cmdและเราบล็อกพอร์ต 445 ซึ่งไวรัสจะแทรกซึมเข้าไปในคอมพิวเตอร์
ต่อสู้ด้วยคำสั่งที่น่ารังเกียจ: - ไฟร์วอลล์ advfirewall netsh เพิ่มกฎ dir = ในการกระทำ = บล็อกโปรโตคอล = tcp localport = 445 ชื่อ = "Block_TCP-445" ต่อไปเราจะเริ่มระบบในเซฟโหมด
- - เมื่อคุณใช้ F8 ระบบจะเปิดเครื่องให้คุณทันทีที่คุณสตาร์ทคอมพิวเตอร์
- คุณต้องเลือก "โหมดปลอดภัย"
เราทราบและเลือกโฟลเดอร์ที่มีไวรัส คุณสามารถค้นหาได้โดยคลิกที่ป้ายกำกับไวรัสแล้วคลิก "กำลังหมุนไฟล์"
เรารีสตาร์ทคอมพิวเตอร์ในโหมดเริ่มต้นและติดตั้งการอัปเดตสำหรับระบบที่เราติดตั้งรวมถึงอินเทอร์เน็ตและติดตั้ง อยากร้องไห้ - วิธีถอดรหัสไฟล์เมื่อคุณตระหนักถึงอาการของไวรัสทั้งหมดอย่างสมบูรณ์แล้ว ก็ถึงเวลาที่จะเริ่มถอดรหัสข้อมูล
และถ้าคุณคิดว่ามันเป็นการให้อภัยมากขึ้นคุณก็จะมีความเมตตาอย่างมาก
ในประวัติศาสตร์แห่งประวัติศาสตร์มีการบันทึกความล้มเหลวเมื่อผู้สร้างเครื่องเข้ารหัสเองก็ไม่สามารถช่วยเหลือ kristuvache ซึ่งจ่ายเงินให้เขาและส่งเขาไปรับราชการ การสนับสนุนด้านเทคนิคโปรแกรมป้องกันไวรัส
ตัวเลือกที่ดีที่สุดคือการลบข้อมูลทั้งหมด
หากคุณไม่มีสำเนาดังกล่าว คุณจะต้องมีงานมากมาย
และโปรแกรมถอดรหัสจะช่วยคุณ
ปลาทะเลชนิดหนึ่งกำลังนอนหลับ
ซึ่งสามารถใช้เพื่อถอดรหัสข้อมูลได้ เช่น Shadow Explorer หรือการกู้คืนข้อมูลของ Windows ระบบวินโดวส์โดยไม่ต้องขอใหม่ เงินที่ได้รับสามารถประหยัดเงินได้โดยการแลกเปลี่ยนค่าไถ่ที่จำเป็น ไวรัสวอนนาคราย- กุญแจสำคัญในการตัดสินใจนั้นอยู่ที่ระบบปฏิบัติการเอง Adrien Guinet ผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ตของ Quarkslab, Matt Suiche แฮ็กเกอร์ชื่อดังระดับโลก และ Benjamin Delpy นักเขียนอิสระกล่าว ระบบจะบันทึกไฟล์เองหลังจากสิ้นสุดระยะเวลาที่กำหนดเพื่อชำระค่าไถ่. ทุกคนก็ใช้วิธีนี้เวอร์ชันของ Windows เครื่องมือใหม่เพื่อบันทึกข้อมูล ชาวฟาเฮียจึงเรียกมันว่าวานากีวี ในตัวฉันเองโบลซี่
Mette Suish เผยแพร่รายละเอียดของสัญญา
ในทางที่เปิดกว้าง ต่อสู้กับไวรัสโดยอธิบายรายละเอียดทางเทคนิคทั้งหมด
ไฟล์บางไฟล์ไม่ได้รับการอัพเดต สิ่งนี้อธิบายว่าทำไมจึงระบุว่ามีเครื่องมือบางอย่างที่สามารถถอดรหัสไฟล์ทั้งหมดที่ถูกบล็อกโดย WannaCry น่าเสียดายที่จากการวิเคราะห์ของเราเกี่ยวกับวิธีการทำงานของการเข้ารหัสนี้ ปรากฏว่าเครื่องมือสามารถถอดรหัสได้เพียงไม่กี่ไฟล์ที่เข้ารหัสด้วยคีย์สาธิตเท่านั้นเอล เมย์ บูตี ยากาส นาดิยา ไฟล์ที่บันทึกไว้บนเดสก์ท็อป เอกสารของฉัน หรืออะไรก็ตาม
ดิสก์ที่มีชื่อเสียง เมื่อติดไวรัส คอมพิวเตอร์จะถูกเขียนทับด้วยข้อมูลที่สร้างขึ้นแบบสุ่มและลบออกซึ่งหมายความว่าไม่สามารถอัปเดตเป็นวิธีการเพิ่มเติมในการอัปเดตไฟล์หรืออัปเดตดิสก์ได้ อย่างไรก็ตามเป็นไปได้ คนที่อ่อนแอหากคุณมีซอฟต์แวร์ที่ไม่ดี คุณสามารถอัปเดตไฟล์ที่เข้ารหัสอื่นๆ ในระบบได้ หากไฟล์เหล่านั้นถูกบันทึกไว้ระหว่างสามที่นี้ โดยการอัปเดตดิสก์ เนื่องจากตามกฎแล้วไฟล์ส่วนใหญ่จะถูกย้ายไปยังโฟลเดอร์ชั่วคราว หายไป แต่ไม่ได้เขียนใหม่สำหรับตัวทำความสะอาดเพิ่มเติม
อย่างไรก็ตามอัตราการต่ออายุอาจแตกต่างกันไป
ระบบที่แตกต่างกัน
ส่วนของไฟล์ที่ถูกลบอาจถูกเขียนทับโดยการทำงานของดิสก์อื่น
บางครั้งผู้สร้างซอฟต์แวร์ยอมจำนนต่อโค้ด
สิทธิประโยชน์เหล่านี้สามารถช่วยให้เหยื่อสามารถเข้าถึงไฟล์ของตนได้อีกครั้งหลังจากการติดไวรัส
บทความของเราอธิบายโดยย่อเกี่ยวกับจำนวนการประนีประนอมที่เกิดขึ้นโดยโจร WannaCry
ขออภัยสำหรับไฟล์ logitia
เมื่อ Wannacry เข้ารหัสไฟล์บนคอมพิวเตอร์ของเหยื่อ มันจะอ่านไฟล์ต้นฉบับแทน เข้ารหัสและบันทึกไฟล์ด้วยนามสกุล “.WNCRYT”
เมื่อกระบวนการเข้ารหัสเสร็จสิ้น ไฟล์จะย้ายไฟล์ที่มีนามสกุล ".WNCRYT" ไปยังไฟล์ ".WNCRY" และลบไฟล์ต้นฉบับ
ตรรกะของแนวทางนี้อาจเปลี่ยนแปลงได้เนื่องจากการขยายและประสิทธิภาพของไฟล์ต้นฉบับ
เมื่อไฟล์ถูกวางบนดิสก์ระบบ:
- หากไฟล์อยู่ในโฟลเดอร์ "สำคัญ" (จากมุมมองของตัวจัดการไฟล์เช่นบนเดสก์ท็อปหรือในโฟลเดอร์ "เอกสาร") จากนั้นก่อนที่จะมองเห็นข้อมูลเพิ่มเติมจะถูกบันทึกไว้ที่ด้านบน ของมัน ไม่มีตัวเลือกสำหรับการอัปเดตไฟล์เอาต์พุตหากไฟล์ถูกจัดเก็บไว้ในโฟลเดอร์ "สำคัญ" ไฟล์ต้นฉบับจะถูกย้ายไปยังโฟลเดอร์ %TEMP%\%d.WNCRYT (โดยที่ %d คือค่าตัวเลข)
ไฟล์ดังกล่าวมีข้อมูล cob ไม่มีอะไรเขียนทับอยู่ - มันถูกลบออกจากดิสก์
- จึงมีความเป็นไปได้สูงที่คุณจะสามารถติดต่อขอโปรแกรมอัพเดตข้อมูลเพิ่มเติมได้
- เปลี่ยนชื่อไฟล์ต้นฉบับที่สามารถอัปเดตได้จากไดเร็กทอรี %TEMP% เมื่อวางไฟล์บนดิสก์อื่น (ที่ไม่ใช่ระบบ): Vimagach สร้างโฟลเดอร์ “$RECYCLE” และตั้งค่าคุณลักษณะเป็น “retained” และ “system”เป็นผลให้โฟลเดอร์นั้นมองไม่เห็น
วินโดวส์เอ็กซ์พลอเรอร์
เนื่องจากการกำหนดค่าของ Explorer ได้รับการตั้งค่าตามคำแนะนำ
ตามที่วางแผนไว้ ไฟล์ต้นฉบับจะถูกย้ายไปยังโฟลเดอร์นี้หลังจากการเข้ารหัส
ขั้นตอนที่กำหนดไดเร็กทอรีชั่วคราวสำหรับบันทึกไฟล์ต้นฉบับก่อนที่จะลบออก
จากการวิเคราะห์ WannaCry เรายังพบว่าผู้กระทำผิดได้รับอนุญาตให้ประนีประนอมการประมวลผลไฟล์ด้วยการป้องกันการเขียน
หากมีไฟล์ดังกล่าวในคอมพิวเตอร์ที่ติดไวรัส ผู้อำนวยการจะไม่เข้ารหัสไฟล์เหล่านั้น: สำเนาที่เข้ารหัสของแต่ละไฟล์จะถูกสร้างขึ้น และไฟล์ต้นฉบับจะลบเฉพาะแอตทริบิวต์ "การเข้าถึง" เท่านั้น
ในกรณีเช่นนี้ ง่ายต่อการจดจำและจดจำคุณลักษณะปกติของพวกเขา
ไฟล์ต้นฉบับที่มีการป้องกันการเขียนจะไม่ได้รับการเข้ารหัสและไม่ถูกย้ายไปที่ใดก็ได้
วิสนอฟกี จากการสืบสวนเชิงลึกเกี่ยวกับนักโทษรายนี้ ปรากฏชัดเจนว่าผู้จัดจำหน่ายได้หลงระเริงกับการไม่มีตัวตนแห่งความเมตตา และรหัสมีความเข้มข้นต่ำ ตามที่เราได้พิจารณาเพิ่มเติมแล้วหากคอมพิวเตอร์ของคุณติดมัลแวร์ WannaCry มีแนวโน้มว่าคุณจะได้รับประโยชน์มากมายจากไฟล์ที่เข้ารหัส
