12 мая примерно в 13MSK разорвалась «бомба», началось распространение вируса Wana Decryptor. Практически за несколько часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.
Содержание:
- Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?
- Как Wana Decryptor проникает на компьютер ?
- Как WanaDecryptor зашифровывает файлы на компьютере ?
- Как восстановить зашифрованные WNCRY файлы ?
- Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.
К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которой от текущей (2.0) был способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.
И последним именем, которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Как Wana Decryptor проникает на компьютер ?
Причиной быстрого распространения Wana Decrypt0r шифровальщика является наличие уязвимости в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версия Windows, от Windows 7 до Windows 10. Ещё 14 марта 2017 г. было выпущено обновление «MS17-010: Обновление безопасности для Windows SMB Server» (ссылка), но как показывает скорость распространения вируса, это обновление было установлено далеко не на все компьютеры.
Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.
Как WanaDecryptor зашифровывает файлы на компьютере ?
При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:
b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry
После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese
Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.
Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.
Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после того как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».
Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @Please_Read_Me@.txt — содержит инструкцию по-расшифровке файлов и @WanaDecryptor@.exe — дешифровщик зашифрованных файлов.
На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.
Как восстановить зашифрованные WNCRY файлы ?
Как уже было сказано ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec. Подробно процесс их использования описан в этом руководстве Как восстановить зашифрованные файлы.
Если у вас возникли вопросы или ваш нужна помощь, то можете создать новую тему на нашем форуме или оставить комментарий ниже.
Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?
Сначала вам необходимо закрыть уязвимость в операционной системе, установив обновление MS17-010, ссылку на которое вы можете найти в начале этой статьи. Если установить обновление невозможно, значит отключите использование протокола SMBv1 (Как включить и отключить SMBv1, ссылка) или в файрволе заблокируйте входящие соединения на порт 445.
Для организации полноценной защиты компьютера вам необходимы, как минимум бесплатный антивирус (смотрите эту статью Как выбрать антивирус) и программа для борьбы с вредоносным ПО (смотрите эту статью Как удалить вредоносные программы). Мы рекомендуем использовать Zemana Anti-malware или Malwarebytes. Полные версии этих программ так же включают дополнительный модуль, блокирующий запуск вирусов шифровальщиков.
В качестве дополнительной защиты рекомендую установить программу CryptoPrevent.
Как скачать Wanna Cry? Интересно посмотреть,если чё просто переустановлю винду-и всё
из статьи следует, что, по идее, файлы с переписанными вручную расширениями не будут зашифрованы. Файлы *.png зашифруются, а *.mypng или *.pngg не зашифруются, надо бы проверить работоспосбность вируса хоть на виртуалочке под линексом. Я бы посоветовал пока переименовать расширения всех жизненно важных файлов, как вариант.
На сайте malwr.com есть возможность скачать.
Спасибо,пока что поищу,но есть точная ссылка? Тоже через виртуал попробую
Cпасибо!
Уже 2 часа потратил бесполезно на поиск wannacry на malwr! Можно точную ссылку на скачивание?
Здравствуйте, подскажите пожалуйста как восстановить зашифрованные фото, видео, и текст. док .на компьютере после WNCRY по инструкции востановления пробовала, но файлы так и остались зашифрованные в большинстве, есть ли еще шанс восстановить?
а если теневые копии вирус уже удалил(( как произвести расшифровку файлов после его работы?
а то пока нигде не могу найти утилиты, или ее еще нет?
Важные архивные данные от которых зависит размер ваших дивидендов материальных или виртуальных хранить лучше во «внешнем банке с использованием шифрования или архивации» это может быть флешка, стример, винчестер, двд, сервер, подключаемое только для копирования, делая копии в конце раб. дня сортируя по дате изменения (примерно как пишет видео регистратор).
..есть куча серьезных программ типа Symantec Backup Exec, Symantec Veritas Netbackup и др…….по моему наиболее интересная TrueCrypt причем старая версия программы…
Богдан, вот malwr.com/analysis/ZWIxNWMzNzRhZmE5NDQ3OGIxODZjMzllNjYyZmJkZjY/
Огромное спасибо!
Download Not shared by the uploader
Не загружен он по этой ссылке
Так есть другая ссылка? Эта нерабочая,там нет самого файла
Тогда возьмите на hybrid-analysis.com, hybrid-analysis.com/recent-submissions?filter=file
Здравствуйте, у меня есть вопрос: если у вас как у меня, iPad 2(оооооооочень старый) с 0-ым обновлением, и его поразит вирус wanna cry? ( не дай бог) что делать???
И на этом дофига их,но скачать нельзя… УЖе час ищу и не нашёл до сих пор,где нет download disabled
Анализ шифровальщика Wana Decrypt0r 2.0: https://habrahabr.ru/company/pentestit/blog/328606/
Богдан, на hybrid-analysis необходимо зарегистрироваться. Вчера скачивал, с пары примеров.
Вот теперь действительно огромное спасибо! По этой ссылке hybrid-analysis.com/sample/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd?environmentId=100 скачал,все файлы расширения WNRY здесь. Спасибо! Буду тестировать!
Чёт wannacry не хочет заражать мой комп до сих пор… Сколько времени надо ждать? Я уже разархивировал в зип и все файлы WNRY есть,но он нифига не заражает…
Богдан, возьмите другой вариант. Там подходящих много.
Так я не могу найти подходящий,можно просто ссылкой?
В списке «уничтожающихся» расширений не нашёл NRG. Сам частенько НЕРОй пишу данные на виртуальные диски, когда надо, чтоб родной антивирь что-то не удалил, как из обычной папки. А винраровский контейнер мне не нравится интерфейсом.
Тогда проще все важные файлы кинуть в запись на виртуальный диск (хоть в 700мб проект, хоть в 4.7 гб), а не тупо вручную переписывать расширения у тысяч файлов.
К тому ж и чтение с вирт диска гораздо проще сделать — хоть воткнуть в тот же Алкоголь, а не переписывать расширения в обратном порядке)))
Богдан, вероятно там лежат версии wanna cry вируса вредоносная деятельность которого была отключена компьютерными экспертами с помощью специально зарегистрированных доменов.
Так мне и надо вирус сам,а не обезвреженная версия
Вирус вышел уже как 5 дней и уже не новый,с первого дня (когда он только вышел),мы парим мозг друг другу на этом сайте и уже все проверки сделаны,а я до сих пор не сделал.
Богдан, я вам сообщил пару источников, где можно взять образцы вредоносных программ. Если эти зловреды у вас не работают, то нужно за комментариями обратиться к создателям вируса. Я к ним никакого отношения не имею.
Да я бы с радостью поговорил с ними,но каким образом? У них даже контактов нет… А они обещали сделать специальную соц.сеть для заражённых,чтобы обезвреживать файлы можно было (для нищих)
Какой дурак в 2017 году говорит о переписывании расширений файлов ВРУЧНУЮ?
Есть элементарный способ через баш-переименование в любом файловом менеджере, типа тотал коммандер.
Насчет хранить файлы в образах NRG — тупость, сравнимая с попыткой убежать шахматным королем от ШАХ И МАТ.
Этот тип может быть добавлен в шифруемые в любое время, и что тогда? Будешь все свои данные из NRG переписывать в CUE?
Жалко,что потратил неделю на всю эту дичь с вирусом и спайваром,всё равно ничего толком не добился,да и спасибо русской команде за удаление ссылок с вирусами,твари
Давно бы пора удалить на*ер рунет весь и жить нормально-без неадекватов и дерьма в мире и без деградации населения и всяких смертей,да и крыс станет меньше,а компьютер можно брать со специальным разрешением для корпоративных дел или новостей и прочего,но нет,рунет только портят и всё подряд удаляют. Супер! Нигде нельзя скачать даже вируса! Не то,что цп нельзя скачать,но даже вирус обычный! Молодцы!
Богдан, на сколько я понял копию wanna cry вируса вы скачали. Причиной того, что вирус не заражает компьютер в том, что его деятельность отключена компьютерными экспертами. Но, вы спокойно можете его дизассемлировать и посмотреть как и что он делает.
Просто нужно понимать, что вирусы — это такие опасные штучки и конечно в паблик они особо не выкладываются.
Ахахах, прошу прощения за оффтоп, но Богдан жжет, вот это экземпляр из Кукуево).
Ну а почему мне нельзя проверить деятельность вируса? Почему я не могу сам его опробовать на виртуальной машине? Мне ведь интересно,как и что происходит!
Ведь всё равно я над ним посмеюсь,т.к. у меня виртуалка,да и на реальной винде я просто могу переустановить её и вообще,мне вирусы не страшны,ведь я умею переустанавливать винду,я на одном компе переустанавливаю винду каждый месяц-и он уже 4 года пашет и ему срать,даже не лагает!
а обов’язково міняти віндовс після зараження ком’ютера вірусом?
чи можна просто повидаляти всі файли що не змогла відновити?
Наталя, переустанавливать Windows необходимости нет. Тут главное убедится что вируса нет, и установить патч, который закрывает уязвимость в операционной системе.
що таке «патч»?
Патч, это программа, которая закрывает уязвимость в системе. Смотрите статью выше, раздел «Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor».
добрый вечер! В статье вы пишите что нет в списке расширении 1с, но как раз 1ски он и поразил и это очень огромные потери. Если прошло более 48 часов, возможно ли восстановление файлов?
Есть ли какая то статистика по расшифровке в случае если все же произвести оплату шантажистам? Очень надебсь на скорый ответ
RI, в первоначальной версии шифрования 1с файлов не было. Без разницы сколько времени прошло, можете спокойно использовать инструкцию по восстановлению зашифрованных файлов, которая приведена выше. По поводу шантажистов ничем помочь не могу, такой статистики нет. Статистика, что деньги на кошелек хакеров приходят — это есть, люди платят. Но лично не видел, что кто-то писал, что все файлы расшифровал после оплаты.
Дайте ссылку на шифровальщик.
Aleksandr, смотрите ссылки на Wanna Cry вирус в комментариях выше.
Так можно уже РАСШИФРОВАТЬ файлы WNCRY или еще нет?
Шурф, пока всё тихо. Похоже, что создатели Wanna Cry вируса не хотят выкладывать ключи.
дайте ссылку на скачивание
kep_3372, ссылку на скачивание чего ?