Wannacry расшифровать данные: Расшифровка файлов после вируса WannaCry. Получение ключа для расшифровки файлов.

29.03.1981 alexxlab

Содержание

WannaCry (WannaCrypt) – анализ вируса-шифровальщика и методов защиты

В статье подробно рассмотрен феномен вируса-шифровальщика WannaCry/WannaCrypt, эпидемия заражения которым стремительно началась 12 мая 2017 года. Описаны основные функции этого вредоноса, а также механизмы защиты от подобного рода атак в будущем.

1. Введение

2. Корни WannaCry

3. Анализ WannaCry

4. Признаки заражения WannaCry

5. Защита от WannaCrypt и других шифровальщиков

6. Выводы

Введение

12 мая 2017 г. под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаки WannaCry.

WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку.

Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяется масштабом распространения и используемыми техниками.

Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут, что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».

В Интернете появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Начальный этап атаки WannaCry приведен ниже на статичном изображении.

Рисунок 1. Распространение WannaCry по земному шару

Вирус-вымогатель WannaCry, возможно, написан выходцами из Южного Китая. Сотрудники компании Flashpoint решили изучить не исходные коды и поведение вредоноса, а провести лингвистический анализ сообщения с требованием выкупа.

Исследователи компании Flashpoint пишут, что разработчики или WannaCry определенно хорошо знают китайский язык. На это обстоятельство указывает тот факт, что вымогательское сообщение представлено в двух вариантах: один использует традиционные иероглифы, а другой упрощенные. Кроме того, вымогательское послание на китайском явно отличается от английского шаблона, и его писал человек, хорошо знакомый с тонкостями языка.

Корни WannaCry

Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ, утекло «очень опасное кибероружие» (в чем они, как обычно, не признаются). Об этом стало известно, когда человек из хакерской группировки The Shadow Brokers выложил это «оружие» в интернет. Среди них был эксплойт EternalBlue.

В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows, используя его стандартный сервис доступа к файловой системе по сети — протокол SMB.

Архив, опубликованный кибергруппировкой The Shadow Brokers, содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch.

Последний представляет собой модульное ПО (разработанный АНБ эквивалент Metasploit), позволяющее за несколько минут взломать целевую систему и установить бэкдор для удаленного управления компьютером.

В компании Microsoft провели анализ эксплоитов и заявили, что уязвимости в протоколе SMB версии c 1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, некоторые устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147).

Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году.

Как отметили в компании, инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут. Уязвимость, использованная шифровальщиком WannaCry, имеется только в Windows — иные операционные системы (в том числе Linux, macOS, Android) не пострадали.

Но расслабляться не стоит — в этих ОС имеются свои уязвимости.

Нужно отметить, что для ряда устаревших систем (Windows XP, Windows Server 2003, Windows 8), снятых с поддержки, Microsoft выпустила экстренные обновления.

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю…

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении… Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?»

Действительно — почему?

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код.

Не нужно получать никакого электронного письма — если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2. 0 (видимое имя — Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса.

Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

Эпидемию WannaCry удалось остановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к интернету.

Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe.

Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение.

Важно отметить, что троянец нацелен не только на российских пользователей — об этом говорит список поддерживаемых языков.

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Автор шифровальщика неизвестен, написать его мог кто угодно, явных признаков авторства пока не обнаружено, за исключением следующей информации:

< nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator

< nulldot> 0x1000ef7a, 13, Smile465666SA

< nulldot> 0x1000efc0, 19, [email protected]

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f088, 52, https://www.dropbox. com/s/deh8s52zazlyy94/t.zip?dl=1

< nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

< nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh2ks/m.rar?dl=1

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

Отключить неиспользуемые сервисы, включая SMB v1.

Выключить SMBv1 возможно используя PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
sc. exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled

Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Рисунок 5. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

После отключения уязвимых сервисов установить последние обновления (как минимум, Microsoft Security Bulletin MS17-010 или патч для Windows XP, Windows Server 2003 R2).
Не использовать снятые Microsoft с поддержки старые версии операционной системы Windows, особенно Windows XP.
Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиками и иными вредоносными программами.
Использовать резервное копирование данных, как на внешние, так и на удаленные хранилища (Тест систем резервного копирования и восстановления данных).

Рисунок 6. Резервное копирование с помощью штатных средств Windows

Для защиты от шифровальщиков (включая WannaCry) необходимо не допускать ошибок в организации антивирусной защиты

Не исключать из проверки используемые приложения и диски.
Вовремя продлевать лицензию и обновлять антивирус.
Использовать проактивную защиту, антиспам и контроль программ.
Ограничить доступ к потенциально опасным веб-сайтам, используя веб-фильтрацию.
Запретить отключение антивируса.

Выводы

Эпидемия закончена? Вряд ли.

Хакерская группа The Shadow Brokers, которая взяла на себя ответственность за похищение шпионских программ Агентства национальной безопасности (АНБ) США, во вторник 16 мая объявила о запуске платного сервиса The Shadow Brokers Data Dump of the Month.

Данный сервис ежемесячно будет предоставлять подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Стоит отметить, что в настоящее появляются новые модификации WannaCry, а используемые операционные системы вряд ли в скором времени обновят.

Так что все только начинается!

WannaCry

Мир захватила волна нового вируса WannaCry, шифрующего ваши данные и вымогающего за расшифровку биткоины. Как же проверить и защитить ваш Windows?

Проверка

Чтобы узнать, подвержен ли ваш комп этой заразе, вбейте в консоли вашего компьютера:


dism /online /get-packages | findstr KB4012212

Если в ответе вы увидите KB4012212, это значит, что патч у вас уже установлен, в противном случае установить патч Microsoft Security Bulletin MS17-010 (от него активация винды не слетает).

Для открытия консоли выполните последовательно: нажмите кнопки Windows + R, там впишите cmd.exe и жмакните Enter.

Защита

Так как данный вирус использует брешь в протоколе SMBv1 (эксплойт для Windows, известный под названием EternalBlue), просто отключите его одним из трех предложенных способов.

1. Ручное отключение SMBv1

Перейдите в Control Panel\Programs\Programs and Features:

И уберите галочку с пункта SMB1.0/CIF Filse Sharing Support.:

2. Из консоли


dism /online /norestart /disable-feature /featurename:SMB1Protocol

3. Отключение утилитой

Также можно скачать программу SMB2 Tools Disable и запустить ее от имени администратора:

Это программа-переключатель: если SMBv1 был включен — она его выключит и наоборот. После её запуска необходимо перезагрузить ваш компьютер.

Ну и своевременно устанавливайте обновления вашей системы.

Удаление заразы

Скачайте патч MS17-010 для нужной Windows
Отключитесь от интернета
Откройте командную строку (cmd) от имени администратора: Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

Вписываете эту команду в командную строку:

netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"

Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите «Безопасный режим»
Найдите и удалите папку вируса. Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите «Расположение файла», и удалите корневую папку
Перезагрузите компьютер
Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
Во время установки подключитесь к интернету

Способ для Windows Vista, 7, 8, 8. 1, 10, а также Windows Server 2008/2012/2016.

Расшифровка

Для распаковки зашифрованных файлов (с расширением .wncry) воспользуйтесь наработками Лаборатории Касперского.

Из непроверенных источников стало известно, что частично можно восстановить файлы при помощи утилиты Shadow Explorer. Ссылкок не даю нарочно.

Некоторым пользователям удалось расшифровать свои файлы на компьютере под управлением ОС Windows XP. Подробности есть на Хакере. Опять же используя одну из многочисленных дыр самой операционной системы.

Исследователи безопасности, доработали WannaKey до wanakiwi и теперь он умеет расшифровывать данные на ОС: Windows XP, Windows 7, 2003, Vista, Server 2008 и 2008 R2. Подробности на Хакере.

ВКонтакте

Twitter

Facebook

Одноклассники

WannaCry Windows Вирус

Защита от программы-вымогателя WannaCry

Что такое программа-вымогатель WannaCry?

Программа WannaCry зашифровывает файлы данных и требует от пользователей оплаты за расшифровку, например 300 долл. США в биткойнах. В описании способа выкупа также указывается, что эта сумма будет удвоена через 3 дня. Если пользователь не выкупит свои зашифрованные файлы через 7 дней, то они будут удалены.

Защищены ли мои устройства от этой угрозы?

Пользователи продуктов NortonLifeLock защищены от программы-вымогателя WannaCry. Запустите LiveUpdate для получения свежих описаний вирусов.

Запустите LiveUpdate

Запустите Norton.
Если отображается окно Мой Norton, рядом с разделом Безопасность устройства нажмите .
В главном окне выберите , затем выберите .
После завершения работы Norton LiveUpdate нажмите .
Запускайте LiveUpdate до тех пор, пока не появится сообщение «Установлены все обновления безопасности Norton».
Закройте все программы и перезапустите компьютер.

Требуется дополнительная помощь?

С помощью этого решения мне удалось легко устранить неполадку.

Да Нет

Помогите нам улучшить это решение.

Благодарим вас за комментарии относительно качества обслуживания.

Какие действия следует выполнить сейчас?

Просмотрите решения или свяжитесь с нами.

Идентификатор документа (DOCID): v122151116
Операционная система: Windows
Последнее изменение: 10/03/2020

Как защищаться от атаки вируса-шифровальщика WannaCry

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь.

Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.
Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Подробнее про системы эмуляции файлов вы можете прочитать здесь.

Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry здесь.

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы. Риск действительно большой!

По материалам сайта habrahabr.ru

Вирус CRYPTED000007 — как расшифровать файлы и удалить вымогателя. Как защищаться от атаки вируса-шифровальщика «WannaCry Новый вирус шифровальщик как бороться

По всему миру прокатилась волна нового вируса-шифровальщика WannaCry (другие названия Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), который зашифровывает документы на компьютере и вымогает 300-600 USD за их декодирование. Как узнать, заражен ли компьютер? Что надо сделать, чтобы не стать жертвой? И что сделать, чтобы вылечиться?

Заражен ли компьютер вирусом-шифровальщиком Wana Decryptor?

После установки обновлений, компьютер надо будет перегрузить – теперь шифровальщик вирус к вам не проникнет.

Как вылечится от вируса-шифровальщика Wana Decrypt0r?

Когда антивирусная утилита обнаружит вирус, она либо удалит его сразу, либо спросит у вас: лечить или нет? Ответ – лечить.

Как восстановить зашифрованные Wana Decryptor файлы?

Ничего утешительного на данный момент сообщить мы не можем. Пока инструмента по расшифровке файлов не создали. Остается только подождать, когда дешифровщик будет разработан.

По данным Брайана Кребса (Brian Krebs), эксперта по компьютерной безопасности, на данный момент преступники получили лишь 26’000 USD, то есть только около 58 человек согласилось заплатить выкуп вымогателям. Восстановили ли они свои документы при этом, никто не знает.

Навигация по записям

Что делают вирусы-вымогатели?

Первые вирусы-вымогатели появились примерно в начале 2000-х годов. Многие, кто в эти годы пользовался Интернетом, наверняка помнят Trojan.WinLock. Он блокировал загрузку компьютера и для получения кода разблокировки требовал перечислить определённую сумму на кошелёк WebMoney или на счёт мобильного телефона:

Первые блокировщики Windows были весьма безобидными. Их окно с текстом о необходимости перечислить средства по началу можно было просто «прибить» через Диспетчер задач. Затем появились более сложные версии трояна, который вносил правки на уровне реестра и даже MBR. Но и это можно было «вылечить», если знать, что делать.

Современные же вирусы-вымогатели стали весьма опасными штуками. Они не только блокируют работу системы, но и шифруют содержимое жёсткого диска (в том числе и главную загрузочную запись MBR). За разблокировку системы и дешифрацию файлов злоумышленники теперь берут плату в BitCoin»ах, эквивалентную сумме от 200 до 1000 долларов США! Причём, даже если Вы перечислите оговоренные средства на указанный кошелёк, то это вовсе не даст гарантии того, что хакеры пришлют Вам ключ разблокировки.

Важным моментом является то, что на сегодняшний день практически не существует рабочих способов избавиться от вируса и получить обратно свои файлы. Поэтому, на мой взгляд, лучше изначально не попадаться на всевозможные уловки и более или менее надёжно защитить свой компьютер от потенциальных атак.

Как не стать жертвой вируса

Вирусы-шифровальщики обычно распространяются двумя путями. Первый эксплуатирует различные технические уязвимости Windows. Например, WannaCry использовал эксплоит EternalBlue, который позволял получить доступ к компьютеру по протоколу SMB. А новый шифровальщик Petya может проникать в систему через открытые TCP-порты 1024-1035, 135 и 445. Более же распространённым способом заражения является фишинг . Проще говоря, пользователи сами заражают ПК, открывая присланные по почте вредоносные файлы!

Техническая защита от вирусов-шифровальщиков

Хотя прямые заражения вирусами и не столь часты, но они случаются. Поэтому лучше заранее устранить уже известные потенциальные бреши безопасности. Во-первых, нужно обновить антивирус или установить его (например, хорошо справляется с распознаванием вирусов-шифровальщиков бесплатный 360 Total Security). Во-вторых, нужно обязательно установить последние обновления Windows.

Так для устранения потенциально опасного бага в протоколе SMB Microsoft выпустила внеочередные обновления для всех систем, начиная с Windows XP. Скачать их для Вашей версии ОС можно .

Для защиты от Petya рекомендуют закрыть ряд портов на компьютере. Для этого проще всего воспользоваться штатным брандмауером . Откройте его в Панели управления и выберите в боковой панели раздел «Дополнительные параметры» . Откроется окно управления правилами фильтрации. Выберите «Правила для входящих подключений» и в правой части нажмите «Создать правило» . Откроется специальный мастер, в котором нужно сделать правило «Для порта» , после чего выбрать опцию «Определённые локальные порты» и прописать следующее: 1024-1035, 135, 445 :

После добавления списка портов установите на следующем экране опцию «Блокировать подключение» для всех профилей и задайте имя (описание по желанию) для нового правила. Если верить рекомендациям в Интернете, это не даст вирусу скачать нужных ему файлов даже, если он попадёт к Вам на компьютер.

Кроме того, если Вы из Украины и пользовались бухгалтерским ПО Me.Doc, то могли установить обновления, которые содержали в себе бэкдоры. Эти бэкдоры были использованы для масштабного заражения компьютеров вирусом Petya.A. Из проанализированных сегодня известно, как минимум, три обновления с уязвимостями безопасности:

10.01.175-10.01.176 от 14 апреля;
10.01.180-10.01.181 от 15 мая;
10.01.188-10.01.189 от 22 июня.

Если Вы устанавливали эти обновления, то Вы в группе риска!

Защита от фишинга

Как уже было сказано, в большинстве заражений виновен, всё же, человеческий фактор. Хакеры и спамеры развернули масштабную фишинговую акцию по всему миру. В её рамках рассылались электронные письма якобы от официальных организаций с различными вложениями, которые выдавались за счета, обновления ПО или иные «важные» данные. Достаточно было пользователю открыть замаскированный вредоносный файл, как он устанавливал на компьютер вирус, который шифровал все данные!

Как же отличить фишинговое письмо от реального. Сделать это весьма несложно, если следовать здравому смыслу и следующим рекомендациям:

От кого письмо? Первым делом обращаем внимание на отправителя. Хакеры могут подписать письмо, хоть именем Вашей бабушки! Однако, есть важный момент. Email «бабушки» Вы должны знать, а адрес отправителя фишингового письма, как правило, будет неопределённым набором символов. Что-то вроде: «[email protected]». И ещё нюанс: имя отправителя и его адрес, если это официальное письмо, обычно, коррелируют между собой. Например, E-Mail от некой фирмы «Пупкин и Ко» может выглядеть как «[email protected]», но вряд ли будет иметь вид «[email protected]» 🙂
О чём письмо? Как правило, фишинговые письма содержат в теме какой-либо призыв к действию или намёк на него. При этом в теле письма обычно либо вообще ничего не написано, либо дана какая-то дополнительная мотивация к открытию вложенных файлов. Слова «СРОЧНО!», «Счёт за услуги» или «Критическое обновление» в письмах от неизвестных отправителей могут быть ярким примером того, что Вас пытаются взломать. Думайте логически! Если Вы не запрашивали никаких счетов, обновлений или иных документов у той или иной компании, то это с вероятностью 99% — фишинг…
Что в письме? Главным элементом фишингового письма являются его вложения. Наиболее очевидным типом вложения может быть EXE-файл с фейковым «обновлением» или «программой». Такие вложения являются довольно грубым подлогом, но встречаются.
Более «изящные» способы обмануть пользователя заключаются в маскировке скрипта, скачивающего вирус, под документ Excel или Word. Маскировка может быть двух типов. При первом варианте сам скрипт выдаётся за офисный документ и распознать его можно по «двойному» расширению имени, например, «Счёт.xls.js » или «Резюме.doc.vbs «. Во втором случае вложение может состоять из двух файлов: реального документа и файла со скриптом, который вызывается как макрос из офисного документа Word или Excel.
В любом случае открывать такие документы не стоит, даже если «отправитель» Вас сильно об этом просит! Если даже вдруг среди Ваших клиентов имеется тот, кто теоретически мог бы Вам выслать письмо с подобным содержимым, лучше потрудитесь связаться с ним напрямую и уточнить, не присылал ли он Вам каких-либо документов. Лишнее телодвижение в данном случае может спасти Вас от ненужных хлопот!

Думаю, если Вы закроете все технические бреши в своём компьютере и не будете поддаваться на провокации спамеров, то никакие вирусы Вам не страшны!

Как восстановить файлы после заражения

И, всё же, Вас угораздило заразить компьютер вирусом-шифровальщиком… НИ В КОЕМ РАЗЕ НЕ ВЫКЛЮЧАЙТЕ ПК ПОСЛЕ ПОЯВЛЕНИЯ СООБЩЕНИЯ О ШИФРОВАНИИ!!!

Дело в том, что из-за ряда ошибок в коде самих вирусов, до перезагрузки компьютера есть шанс вытащить из памяти ключ, который нужен для расшифровки файлов! Например, для получения ключа дешифровки WannaCry подойдёт утилита wannakiwi . Увы, для восстановления файлов после атаки Petya подобных решений нет, но можно попробовать извлечь их из теневых копий данных (если у Вас активирована опция их создания на разделе жёсткого диска) при помощи миниатюрной программы ShadowExplorer :

Если же Вы уже перезагрузили компьютер или вышеприведённые советы не помогли, то восстановить файлы можно только при помощи программ для восстановление данных. Как правило, вирусы-шифровальщики работают по следующей схеме: создают зашифрованную копию файла и удаляют оригинал без его перезаписи. То есть, фактически удаляется только метка файла, а сами данные сохраняются и могут быть восстановлены. На нашем сайте имеется две программы: подойдёт больше для реанимации медиафайлов и фото, а R.Saver хорошо справляется с документами и архивами.

Естественно, что нужно удалить из системы и сам вирус. Если Windows загружается, то для этого хорошо подойдёт программа Malwarebytes Anti-Malware . Если же вирус заблокировал загрузку, то Вас выручит загрузочный диск Dr.Web LiveCD с проверенной утилитой для борьбы с различными зловредами Dr.Web CureIt на борту. В последнем случае придётся ещё и заняться восстановлением MBR. Поскольку LiveCD от Dr.Web на базе Linux, то, думаю, Вам пригодится инструкция с Хабра на эту тему .

Выводы

Проблема вирусов на Windows актуальна уже много лет. И с каждым годом мы видим, что вирусописатели изобретают всё более изощрённые формы нанесения ущерба компьютерам пользователей. Последние эпидемии вирусов-шифровальщиков демонстрируют нам, что злоумышленники постепенно переходят к активному вымогательству!

К сожалению, даже, если Вы заплатите деньги, то вряд ли получите какой-либо ответ. Скорее всего, восстанавливать свои данные придётся самостоятельно. Поэтому лучше вовремя проявить бдительность и не допустить заражения, чем потом долго возиться с ликвидацией его последствий!

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

Эксперты Positive Technologies подготовили рекомендации по обнаружению и противодействию вирусу-шифровальщику WannaCry

Шифровальщик WannaCry. Рекомендации

В связи с начавшейся 12 мая 2017 года массовой эпидемией вируса-шифровальщика WannaCry (WannaCry, WCry, WanaCrypt, WanaCrypt0r, Wana DeCrypt0r и др.), компания Positive Technologies получает большое количество запросов на предоставление рекомендаций по обнаружению и противодействию этой угрозе.

В связи с этим было решено сформировать базовый набор рекомендаций по противодействию этому виду вредоносного ПО. Данный документ не содержит полного и детального описания вируса-шифровальщика, так как мы ожидаем появления новых модификаций в течение этой недели с другими индикаторами компрометации.

Сегодня известно уже о как минимум 3 различных версиях WannaCry. Учитывая модульную структуру вируса, эксперты Positive Technologies ожидают появления в ближайшем будущем новых модификаций. Поэтому особенно важно максимально быстро устранить возможность распространения вируса в корпоративной сети.

Уязвимыми к атаке WannaCry являются компьютеры под управлением операционных систем Windows начиная с XP/2003 и до 10/2016 включительно, на которых не установлено обновление MS17-010.

Подготовленный нами базовый набор рекомендаций поможет противостоять атаке на всех ее этапах:

Рекомендации по предотвращению заражения
Рекомендации по обнаружению заражения
Рекомендации по локализации и ликвидации заражения

ПРИЛОЖЕНИЕ №1. Подготовка отчета по узлам с уязвимостью CVE-2017-0145 EternalBlue

Информация об уязвимости CVE-2017-0145 (Windows SMB Remote Code Execution Vulnerability) присутствует в базе знаний MaxPatrol 8 начиная со сборки 8.25.5.25279 (если используется более ранняя сборка, необходимо выполнить обновление). Обнаруживается уязвимость при сканировании узла в режиме Audit. В случае если у вас уже есть результаты сканирований на сборке 8.25.5.25279 (и системы не обновлялись после сканирования), для того чтобы получить список уязвимых узлов, достаточно подготовить отчет. Наиболее удобным будет отчет в табличном представлении, содержащий только узлы с данной уязвимостью. Его можно экспортировать в другую систему и провести установку обновления.

Чтобы создать отчет:

Переходим на закладку Отчеты
Добавляем новый отчет
Даем отчету имя и определяем тип – SIEM integration
В разделе Задача выбираем созданную на Шаге 3 задачу
Включаем фильтрацию по полю CVE = CVE-2017-0145. Это позволит отобрать только уязвимые узлы
Сохраняем отчет и запускаем
Отчет сформирован в .XML-файле. Сохраняем его и открываем, например, в Microsoft Excel
Экспортируем список уязвимых узлов (столбцы NETBIOS либо value3)

ПРИЛОЖЕНИЕ №2. Обнаружение уязвимости CVE-2017-0145 EternalBlue в режиме Audit

Для сканирования в режиме Audit необходима учетная запись, обладающая правами администратора на узлах сети. Для ускорения сканирования можно использовать урезанный профиль:

Отключаем все режимы сканирования, кроме Audit
В Настройках сканирования в режиме Audit отключаем использование LDAP, SSH, Telnet, MSSL, Oracle, Lotus Notes RPC, SAP DIAG, SAP RFC

Если компьютер уязвим – в результатах сканирования появится запись «Удаленное выполнение кода, связанное с Windows SMB»

ПРИЛОЖЕНИЕ №3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest

С целью более быстрого и простого поиска всех уязвимых к CVE–2017–0145 узлов выпущено обновление 8.25.5.25482, позволяющее обнаруживать уязвимость в режиме Pentest. Инструкция по созданию облегченного профиля Pentest:

Проверяем, что используется версия 8.25.5.25482 или выше. В противном случае обновляем версию до нужной
Переходим в Сканирование
Выбираем Профили
Создаем профиль на основе Fast Pentest, даем профилю имя
В Настройках сканирования оставляем только порт 445/tcp в списке портов
Также в настройках полностью отключаем Сканер UDP-сервисов
Сохраняем профиль, переходим к Задачам
Создаем задачу, использующую профиль и выполняем сканирование
Если узел уязвим – это будет отражено в результатах сканирования
Переходим к созданию отчета (Приложение 1)

Эпидемия шифровальщика WannaCry: что произошло и как защититься

12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Масштабы очень велики, за один только день зафиксировано более 45 000 случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более сотни тысяч компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на троянца CryptXXX.

Он шифрует файлы различных типов (полный список): офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. В случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Для уверенной защиты данных рекомендуем решения:

Резервное копирование данных Acronis

Полное и частичное резервное копирование данных
Восстановление исходного состояния системы
Централизованное управление копированием и восстановлением на всех ПК корпоративной сети

Смотрите каталог продуктов Acronis

Антивирусная защита «Лаборатории Касперского»

Предлагаем перевести вашу антивирусную защиту на Kaspersky Endpoint Security Расширенный на специальных условиях и получить дополнительный функционал защиты:

Поиск и устранение уязвимостей в корпоративной сети
Централизованное обновление установленного на ПК программного обеспечения
Удаленное управление компьютерами пользователей

WannaCry Ransomware: инструменты дешифруют бесплатно

Шифрование и управление ключами , Управление мошенничеством и киберпреступностью , Технологии нового поколения и безопасная разработка

Декрипторы от французских исследователей могут спасти множество жертв Мэтью Дж.Шварц ( евроинфосек) • 22 мая, 2017 WanaKiwi расшифровывает ПК с Windows, зараженный WannaCry. (Источник: Бенджамин Делпи)
Хорошие новости для многих жертв WannaCry: бесплатные инструменты могут использоваться для расшифровки некоторых компьютеров, которые были принудительно зашифрованы программой-вымогателем, при условии, что простые числа, использованные для создания криптографических ключей, остаются в памяти Windows и еще не были был перезаписан.
См. Также: Вебинар в прямом эфире Завтра | Руководство покупателя: что следует учитывать при оценке CASB
У средств дешифрования есть несколько предостережений: затронутые системы не должны быть выключены или перезагружены.Пользователи также должны иметь доступ к зараженной системе с правами администратора. И даже в этом случае, предупреждают исследователи безопасности, эти инструменты могут работать не со всеми типами зараженных систем.
Но инструменты дают жертвам WannaCry потенциальный способ восстановить свои системы, не задумываясь о том, заплатят ли они злоумышленникам. Эксперты по безопасности и правоохранительные органы рекомендуют по возможности не платить выкуп, поскольку они напрямую финансируют будущую киберпреступность (см. Please Don’t Pay Ransoms, FBI Urges ).
заражений WannaCry начали распространяться по всему миру 12 мая, заразив более 200000 компьютеров Windows со скоростью и серьезностью, невиданной со времен червей Love Bug и SQL Slammer в начале 2000-х годов (см. Teardown: WannaCry Ransomware ).
Кто разработал WannaCry, добавил возможность его распространения как червя, нацелившись на два просочившихся эксплойта Equation Group, включая ошибку протокола блокировки сообщений сервера Windows, которую Microsoft исправила для своих новых систем Windows в марте с помощью обновления безопасности MS17-010. .Брешь, предположительно созданная Агентством национальной безопасности, просочилась в апреле хакерской группой Shadow Brokers.
После того, как атаки начались, поздно вечером 12 мая Microsoft поделилась экстренными обновлениями для трех операционных систем, которые она официально больше не поддерживает — Windows XP, Windows Server 2003 и Windows 8, — чтобы исправить ошибку SMB.
Французские исследователи безопасности спешат на помощь
После того, как WannaCry впервые появился, три французских исследователя безопасности, работающие круглосуточно, провели обратный инжиниринг программы-вымогателя и начали разработку, тестирование и выпуск инструментов для дешифрования.В четверг Адриен Гине, исследователь безопасности парижской фирмы Quarkslab, занимающейся кибербезопасностью, выпустил WannaKey, который может расшифровывать системы Windows XP. В пятницу Бенджамин Делпи выпустил WanaKiwi, который он построил в свободное время, вдали от своей основной работы в Banque de France. Их усилия были поддержаны и проверены экспертом по безопасности из Дубая Мэттом Суишем.
Ключи шифрования, включая тот, который используется WannaCry для принудительного шифрования ПК жертвы, создаются путем умножения двух невероятно больших простых чисел.
Но, очевидно, есть слабость в функциональности Windows, которую разработчик WannaCry использовал, которая называется Microsoft CryptoAPI, как выяснили исследователи. По крайней мере, на короткое время Windows хранит в памяти копию двух простых чисел, которые она предоставила WannaCry. Соответственно, эти простые числа могут быть восстановлены, независимо использованы для вычисления ключа шифрования, а затем использованы для дешифрования всех принудительно зашифрованных данных.
#wanakiwi для расшифровки файлов #WANACRY по частям ключа в памяти (спасибо @adriengnt за идею) https: // t.co / 7LTTZXXEsB
XP иногда, 7, если повезет pic.twitter.com/3V8gFaIkCF
— Benjamin Delpy (@gentilkiwi) 19 мая 2017 г.
Попробуйте WanaKiwi First
Сообщается, что из двух инструментов WanaKiwi является более простым в использовании. Более того, сообщает Suiche, WanaKiwi может расшифровать системы как Windows XP, так и Windows 7. «Это означает, что он работает для всех версий Windows от XP до 7, включая Windows 2003 (подтверждено x86), Vista и 2008 и 2008 R2», — говорит Суич в своем блоге.
Вывод: попробуйте инструменты и сделайте это немедленно.«Не перезагружайте зараженные машины и попробуйте wanakiwi как можно скорее *!» Суич говорит, что жертвы должны сделать это как можно скорее, «потому что через некоторое время простые числа могут быть перезаписаны в памяти».
WanaKiwi в действии на зараженной системе Windows XP. (Источник: Мэтт Суич.)
Выводы Suiche были подтверждены Европейским центром киберпреступности, входящим в состав Европола, разведывательной службы правоохранительных органов ЕС, который сообщил через Twitter, что эти инструменты могут «восстанавливать данные при некоторых обстоятельствах.«
#Wannacry для расшифровки файлов, проверенных @ EC3Europol и обнаруженных для восстановления данных в некоторых случаях: https://t.co/E9j59j4p0c https://t.co/3n8hd4hrQi
— Europol (@Europol) 19 мая 2017 г.
«Это не идеальное решение», — сказал Суич Рейтер. «Но это пока единственное работоспособное решение, которое поможет предприятиям восстановить свои файлы, если они были заражены и у них нет резервных копий», которые позволяют пользователям восстанавливать данные, не платя черным почтовым службам ».
Фирма Kryptos Logic по анализу угроз сообщает Reuters, что по состоянию на среду половина всех IP-адресов, зараженных WannaCry, по всей видимости, находилась в Китае и России, что составляет 30 процентов и 20 процентов всех заражений в мире, соответственно, за которыми следуют Соединенные Штаты с 7 процентов инфекций, а также в Великобритании, Франции и Германии, на каждую из которых приходится по 2 процента инфекций во всем мире.
По словам Костина Райу, исследователя московской компании по безопасности «Лаборатория Касперского», 98 процентов всех систем, зараженных WannaCry, работают под управлением операционной системы Windows 7.
Распространение заражения #WannaCry по версии Windows. Худший хит — Windows 7 x64. Количество Windows XP незначительно. pic.twitter.com/5GhORWPQij
— Костин Райу (@craiu) 19 мая 2017 г.
По состоянию на 7 часов утра по восточному времени США в понедельник 315 жертв заплатили 49 биткойнов на сумму около 108000 долларов на один из трех биткойн-кошельков, связанных с программой-вымогателем.
В надежде на арест
Инструменты дешифрования WannaCry могли появиться слишком поздно для некоторых жертв. После заражения WannaCry предупреждает жертв, что у них есть три дня, чтобы заплатить 300 долларов в биткойнах, прежде чем выкуп вырастет до 600 долларов. Если это не будет оплачено через неделю, программа-вымогатель сообщит, что данные будут заблокированы навсегда.
Даже в этом случае — и если бесплатные инструменты дешифрования не сработали — Дельпи говорит, что у жертв может быть другой вариант: создать резервную копию всех файлов и дождаться, пока полиция найдет и арестует преступников.По его словам, в этот момент они смогут восстановить основной ключ, который использовался для шифрования всех систем.
#wannacry: сделайте резервную копию всех ваших файлов; 00000000.eky и ваши зашифрованные
Когда преступник будет арестован, главный ключ будет использован для расшифровки всего.
— Бенджамин Дельпи (@gentilkiwi) 20 мая 2017 г.
Конечно, эта стратегия зависит от того, будут ли идентифицированы, пойманы и привлечены к ответственности разработчик WannaCry или разработчики. Неясно, когда — или если — это может когда-либо случиться.
Хотите расшифровать ваши файлы? Решение WannaCry для некоторых — Malwarebytes Labs
Декриптор (Wanakiwi), разработанный для WannaCry / WannaCrypt / wCrypt. Однако есть одна загвоздка: это работает только для некоторых операционных систем.
Мы просто хотели быстро опубликовать сообщение в блоге, чтобы сообщить вам о дешифраторе (Wanakiwi), который был разработан для WannaCry / WannaCrypt / wCrypt. Однако есть одна загвоздка: он работает только для следующих операционных систем:
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows Server 2008 R2
Окна 7
Итак, если вы заразились WannaCry в одной из вышеперечисленных операционных систем, есть надежда!
ВАЖНО:
Декриптор будет работать только в том случае, если вы не перезапустили зараженную систему и не убили процесс вымогателя ( должно быть wnry.exe или wcry.exe ), поэтому, пожалуйста, не перезапускайте и не завершайте процесс, если вы хотите вернуть эти файлы!
Использование
Чтобы использовать этот инструмент, вам сначала необходимо загрузить его отсюда.
Этот инструмент, по сути, ищет в памяти системы простые числа и соединяет используемый ключ шифрования. Однако он зависит от текущей оперативной памяти, поэтому после перезагрузки она исчезнет, и если вы сделали слишком много в системе с момента заражения, возможно, ключ не будет найден (потому что он был перезаписан данными из других приложений, использующих то же пространство памяти).
Чтобы запустить его, загрузите связанный файл (см. Выше) и извлеките .zip в папку на рабочем столе (если вы можете загрузить файл из чистой системы, а затем передать его через USB, вы меньше рискуете перезаписать ключ. в памяти).
Затем вы можете либо дважды щелкнуть по нему (скучно), либо открыть командную строку (Пуск + CMD) и запустить ее там (весело!).
Инструмент автоматически идентифицирует приложения WannaCrypt, запущенные в системе, если они называются wnry.exe или wcry.exe, но если по какой-то причине они не могут их найти, возможно, проверьте запущенные приложения в вашей системе (диспетчер задач / обозреватель процессов) и найдите нарушителя (это довольно очевидно), а затем определите идентификационный номер процесса (PID), и вы можете просто вставить его в командную строку после wanakiwi.exe.
Инструмент может найти ключ в течение нескольких минут (а в некоторых случаях и нескольких минут), но как только он будет найден, инструмент начнет поиск в вашей системе зашифрованных файлов и автоматически расшифрует их.
Fallout
После того, как инструмент завершит расшифровку ваших файлов, вы останетесь с запиской о выкупе в качестве фона и множеством зашифрованных файлов рядом с вашими незашифрованными файлами.
Вот несколько возможных следующих шагов:
Загрузите Malwarebytes 3.0 (или любой другой инструмент сканирования, который может очистить WannaCry) и запустите сканирование системы, чтобы определить все артефакты, связанные с WannaCry. Это поможет вам удалить вредоносное ПО из системы в случае, если оно снова попытается зашифровать.
Перезагрузите компьютер, чтобы завершить очистку.
Найдите все самые важные файлы, которые вы хотите сохранить, и переместите их в резервную копию.
Сотрите систему и переустановите Windows.
ИЛИ вы можете просто просмотреть свою систему в поисках всех файлов с расширением .WNCRY и избавиться от них.
Фон
Первоначальный дешифратор WannaKey для очистки памяти и поиска простых чисел (для XP) был написан Адриеном Гине (@adriengnt), а затем использован в качестве основы для Wanakiwi, разработанного Бенджамином Делпи (@gentilkiwi).Эти ребята невероятно талантливы и заслуживают аплодисментов!
Мы узнали об этом инструменте благодаря очень обширному сообщению в блоге Мэтта Суича (@msuiche), которое вы должны проверить, чтобы получить дополнительную информацию о том, как работают эти инструменты. Возможно, вы помните Мэтта по его помощи в остановке версии WannaCry, выпущенной на прошлой неделе, путем регистрации домена killswitch.
Эффективность
Мы не хотели писать об этом инструменте, пока не протестировали его в каком-либо качестве.Многие другие исследователи безопасности попробовали это сделать, и кажется, что инструмент хорошо работает в лабораторных условиях (иногда). Я лично тестировал его в системе Windows 7, используя следующий образец (со смешанными результатами):
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Мой первый тест прошел отлично.
Мой второй тест с новым профилем (для создания снимков экрана для этого сообщения) не смог запустить вредоносное ПО.
Мой третий тест запустил вредоносное ПО, но дешифратор занял много времени и в конце концов так и не нашел ключ.
Мой четвертый тест снова прошел отлично (исходный профиль).
Некоторые другие наши исследователи попробовали это, но не смогли получить инструмент для поиска ключа.
Заключение
Этот инструмент был создан очень быстро, и он предназначен для помощи тем, кто может помочь, а это, вероятно, не всем. Я бы не рекомендовал класть все яйца в корзину, которую, если вы попадете, вы не сможете расшифровать с помощью этого инструмента, потому что либо:
Вероятно, вы не сможете восстановить ключ ИЛИ
Вредоносная программа изменится, чтобы очистить текущую память или принудительно выполнить перезагрузку после установки, чтобы сделать инструмент неэффективным
Но если вы в настоящее время имеете дело с инфекцией WannaCry, вы едва коснулись зараженной системы (систем) и используете одну из операционных систем, перечисленных в начале этого сообщения, запуск инструмента ничего не сломает это еще не сломано, поэтому стоит попробовать, чтобы посмотреть, сможете ли вы вернуть эти файлы.
При этом еще раз большое спасибо @adriengnt, @gentilkiwi и @msuiche за их упорный труд, распространение информации и гениальные навыки разработки.
Сообщите нам в комментариях, сработал ли этот инструмент для вас (и ваша конфигурация тоже!)
Связанные
Можно ли расшифровать файлы, заблокированные WannaCry: Технический анализ | по угрозе Intel | Угроза Intel
Червь-вымогатель WannaCry доминировал в глобальном информационном цикле с момента своего распространения в пятницу.
В настоящее время сообщения о программах-вымогателях зарегистрированы более чем в 150 странах по всему миру, затронув сотни тысяч компьютеров и более 10 000 компаний.
Symantec уже опубликовала блог, в котором подробно описаны все, что вам нужно знать об этой программе-вымогателе и о том, как защитить себя. Однако дальнейшее расследование, проведенное нашими экспертами-аналитиками, которые пытаются найти ключ дешифрования для нейтрализации этой угрозы, позволило выявить дополнительные технические детали.
Записка с требованием выкупа WannaCry
Анализ наших инженеров показывает, что вредоносная программа имеет два жестко закодированных открытых ключа, развернутых как часть этой программы-вымогателя: один используется для основной задачи шифрования файлов, а другой используется для шифрования небольшого количества файлов для «Демо-расшифровка» — чтобы авторы вымогателей могли «доказать» жертвам, что они могут расшифровать файлы.Назовем их открытым ключом злоумышленника и демонстрационным открытым ключом, что будет объяснено позже.
Когда вредоносная программа запускается на машине жертвы, она генерирует новую уникальную пару асимметричных ключей RSA 2048 бит. Это означает, что каждой жертве нужен свой ключ дешифрования.
После создания новой уникальной пары ключей вредоносная программа экспортирует открытый RSA-ключ жертвы в локальный файл с именем 00000000.pky, используя CryptExportKey API. Затем он экспортирует закрытый ключ RSA жертвы и шифрует его с помощью жестко запрограммированного открытого ключа злоумышленника из вредоносной программы и сохраняет его как 00000000.eky на диске. Теперь, когда ключ надежно сохранен, вредоносная программа использует CryptDestroyKey API для уничтожения закрытого ключа в памяти, что ограничивает время восстановления параметров закрытого ключа из памяти любым другим инструментом. К сожалению, время жизни закрытых ключей RSA жертвы настолько ограничено, что нет хорошей возможности восстановить его позже, когда шифрование было выполнено.
Теперь зловред перечислит все интересующие файлы по их расширению. Если исходный размер файла меньше 209 715 200 байт или настраиваемый предел файлов еще не достигнут, то вредоносная программа будет использовать демонстрационный открытый ключ RSA, который жестко закодирован во вредоносной программе.Для этого ключа секретный ключ действительно известен и может использоваться для расшифровки содержимого. Для всех других файлов будет использоваться открытый ключ RSA жертвы, для которого закрытый ключ был надежно зашифрован и хранится локально.
Это означает, что программа-вымогатель теперь генерирует новый 16-байтовый симметричный ключ с помощью API CryptGenRandom для каждого файла, который она хочет зашифровать. Этот симметричный ключ зашифрован с использованием одного из доступных открытых ключей RSA и хранится вместе с копией исходного файла в зашифрованном виде.Использование демонстрационного ключа позволяет злоумышленникам расшифровать несколько файлов, чтобы доказать, что они являются настоящими авторами. К сожалению, это не гарантирует, что у них действительно есть необходимый закрытый ключ RSA для расшифровки закрытого ключа жертвы, который хранился локально.
Это объясняет, почему были заявления о том, что некоторые инструменты доступны для расшифровки всех файлов, заблокированных WannaCry. К сожалению, из нашего анализа того, как работает эта программа-вымогатель, оказалось, что только несколько файлов, зашифрованных с помощью демонстрационного ключа, могут быть расшифрованы с помощью этого инструмента.
Но есть надежда. Файлы, хранящиеся на рабочем столе, в «Моих документах» или на любых съемных дисках компьютера во время заражения, перезаписываются случайно сгенерированными данными и удаляются. Это означает, что их невозможно восстановить с помощью средства восстановления файлов или восстановления диска.
Однако из-за возможных слабых мест вредоносной программы можно восстановить другие зашифрованные файлы в системе, когда они хранились за пределами этих трех мест, с помощью инструмента восстановления диска для восстановления, поскольку большинство файлов перемещено во временное хранилище. папку, а затем нормально удаляются, не перезаписываясь вайпером.Однако коэффициент восстановления может отличаться от системы к системе, поскольку удаленный файл может быть перезаписан другими операциями с диском.
Короче говоря, должно быть возможно восстановить некоторые файлы, зашифрованные с помощью WannaCrypt, без уплаты выкупа, однако восстановление всех файлов без резервной копии в настоящее время не представляется возможным.
В качестве примечания по безопасности, будьте осторожны с любыми службами, предлагающими дешифрование всех файлов и т. Д., Поскольку эти дешифраторы вполне могут быть замаскированными вредоносными программами.
Мы проверили возможность восстановления файлов с помощью инструмента восстановления диска под названием Disk Drill, на снимке экрана ниже показаны удаленные файлы, обнаруживаемые и восстанавливаемые этим инструментом:
Компьютеры, на которых установлены исключительно старые версии XP, могут действительно сгенерировать ключ дешифрования. . Это связано с недостатком, который существует в версиях Windows XP SP1 и SP2 и который был исправлен еще в 2008 году в Windows XP SP3, поэтому процент компьютеров, на которых все еще работают эти версии операционной системы, невелик.
Однако те, на которых все еще есть компьютеры, работающие с этими системами, могут воспользоваться недостатком в его генераторе псевдослучайных чисел (PRNG), который позволяет кому-то предсказать ключи шифрования, которые будут созданы в будущем, и, что особенно важно, выявить ключи, которые были созданный в прошлом.
Человек может воспользоваться этой уязвимостью, чтобы раскрыть ключ дешифрования в памяти, если вредоносная программа все еще работает, и, следовательно, освободить свои файлы из-под контроля WannaCry.
ОБНОВЛЕНИЕ : Исследователь Адриен Гине использовал другую уязвимость XP для восстановления ключей из памяти: https: // github.com / aguinet / wannakey
Есть утверждения, что тот же метод работает и в Windows 7. Однако в нашем первоначальном анализе мы определили, что это будет работать только в лабораторных условиях, например, где:
— несколько файлов зашифрованы
— инструмент уже доступен для выполнения
— инструмент запускается сразу после заражения
Инструмент ищет в памяти ключевые компоненты, однако в нескольких тестах мы обнаружили, что эти ключевые компоненты были перезаписаны.
Несмотря на эти ограничения, жертвы, желающие опробовать инструмент, не имеют побочных эффектов.
Тепловая карта показывает, как WannaCry распространяется по всему миру.
Symantec продолжает расследование вымогателя WannaCry. Следите за актуальной информацией в учетной записи Intel Threat Intel в Twitter и посетите блог Security Response для получения дополнительной информации об этой угрозе.
Выпущен инструмент дешифрования программ-вымогателей WannaCry; Разблокировать файлы без уплаты выкупа
Если ваш компьютер был заражен WannaCry — программой-вымогателем, разорившей мир в прошлую пятницу, — возможно, вам повезет вернуть свои заблокированные файлы, не заплатив выкуп в размере 300 долларов киберпреступникам.
Адриен Гине, французский исследователь безопасности из Quarkslab, обнаружил способ бесплатно получить секретные ключи шифрования, используемые вымогателем WannaCry, который работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.
Ключи дешифрования программ-вымогателей WannaCry

Схема шифрования WannaCry работает путем создания пары ключей на компьютере жертвы, которые полагаются на простые числа, «открытый» ключ и «закрытый» ключ для шифрования и дешифрования файлов системы соответственно.

Чтобы жертва не могла получить доступ к закрытому ключу и самостоятельно расшифровать заблокированные файлы, WannaCry стирает ключ из системы, не оставляя жертвам выбора для получения ключа дешифрования, кроме как заплатить выкуп злоумышленнику.
Но вот что интересно: WannaCry «не стирает простые числа из памяти перед освобождением связанной памяти», — говорит Гине.
Основываясь на этом открытии, Guinet выпустил инструмент для дешифрования программ-вымогателей WannaCry, названный WannaKey , который в основном пытается получить два простых числа, используемых в формуле для генерации ключей шифрования из памяти, и работает только с Windows XP.

Примечание: Ниже я также упомянул другой инструмент, получивший название WanaKiwi , который работает от Windows XP до Windows 7.
« Он делает это путем поиска их в процессе wcry.exe. Это процесс. который генерирует закрытый ключ RSA. Основная проблема заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти перед освобождением связанной памяти. », — говорит Гине
. Таким образом, это означает, что этот метод будет работать, только если:
Зараженный компьютер не перезагружался после заражения.
Связанная память не была выделена и стерта другим процессом.
« Для того, чтобы работать, ваш компьютер не должен быть перезагружен после заражения. Также обратите внимание, что вам нужно немного удачи, чтобы это сработало (см. Ниже), и поэтому он может работать не во всех случаях !, », — говорит Гине. .
« На самом деле это не ошибка авторов программ-вымогателей, поскольку они правильно используют Windows Crypto API. »

Хотя WannaKey извлекает только простые числа из памяти пораженного компьютера, инструмент может использоваться только теми, кто может использовать эти простые числа для генерации ключа дешифрования вручную для расшифровки файлов своего компьютера, зараженного WannaCry.
WanaKiwi: средство дешифрования программ-вымогателей WannaCry

Хорошая новость заключается в том, что другой исследователь безопасности, Бенджамин Делпи, разработал простой в использовании инструмент под названием « WanaKiwi » на основе результатов исследования Гине, который упрощает весь процесс дешифрования файла, зараженного WannaCry.
Все, что нужно сделать жертве, — это загрузить инструмент WanaKiwi с Github и запустить его на своем уязвимом компьютере с Windows с помощью командной строки (cmd).
WanaKiwi работает с Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008, подтвердил Мэтт Суич из компании по обеспечению безопасности Comae Technologies, который также представил несколько демонстраций, показывающих, как использовать WanaKiwi для расшифровки файлов.
Хотя инструмент не будет работать для каждого пользователя из-за его зависимостей, он все же дает некоторую надежду жертвам WannaCry получить обратно свои заблокированные файлы бесплатно даже из Windows XP, устаревшей, в основном неподдерживаемой версии операционной системы Microsoft.

Исследователь безопасности говорит, что он придумал, как расшифровать WannaCry
Программа-вымогатель WannaCry заразила сотни тысяч компьютерных систем по всему миру, но исследователь безопасности утверждает, что он придумал, как ее победить.
В некоторых случаях то есть.
Адриен Гине говорит, что в своей лаборатории он смог расшифровать компьютер с выкупом под управлением Windows XP, обнаружив простые числа, составляющие закрытый ключ WannaCry. Приватный ключ — это то, что жертве вымогателя потребуется, чтобы откупиться от злоумышленников, чтобы восстановить доступ к своим файлам, но Гине говорит, что он смог сделать это, не заплатив выкуп в биткойнах.
СМОТРИТЕ ТАКЖЕ: Хакерам WannaCry будет непросто получить свои деньги
Важно отметить, что Гине признает, что этот метод был продемонстрирован только для работы на компьютере под управлением Windows XP.Почему это имеет значение? Несмотря на первоначальные сообщения, эти системы не пострадали от крупной эпидемии 12 мая, поскольку червь, распространяющий программу-вымогатель, не поразил эти системы.
Однако сам WannaCry выполняет работу на XP — это предполагает, что, если вымогателю удастся распространиться на XP, эту новую технику можно было бы использовать для помощи будущим жертвам.
Твит мог быть удален
Есть и другие оговорки.
«Для работы ваш компьютер не должен быть перезагружен после заражения», — написал Гине на Github.«Также обратите внимание, что вам нужно немного удачи, чтобы это сработало, — добавил он, — и поэтому это может не сработать во всех случаях!»
Почему удача? Как объясняет Гине, когда WannaCry заражает компьютер, он генерирует ключи шифрования, основанные на простых числах. А вот и важная часть: программа-вымогатель «не стирает простые числа из памяти перед освобождением связанной памяти».
«Если вам повезет (связанная память не была перераспределена и стерта), — продолжает Гине, — эти простые числа все еще могут быть в памяти.«
Если вы можете восстановить эти простые числа, как говорит Гине, вы сможете расшифровать свои файлы.
Гине опубликовал программное обеспечение, которое он использовал для расшифровки зараженной системы. Он назвал его« Ваннаки ».
Как Как упоминалось выше, Wannakey не тестировался в больших масштабах, поэтому это не лучшая цель. Однако он предполагает, что данные, которые считаются потерянными в результате будущих атак программ-вымогателей, действительно могут быть восстановлены. И это очень необходимые хорошие новости.
Видео по теме: Если этот будильник не заставит вас встать с постели, ничего не будет
Уплата выкупа WannaCry, вероятно, ничего вам не принесет.Вот почему.
Массовая атака программы-вымогателя WannaCry в прошлую пятницу ставит перед жертвами по всему миру сложный вопрос: должны ли они платить выкуп?
Тем, кто это делает, не следует ожидать быстрого ответа — или вообще какого-либо ответа. По мнению исследователей безопасности, даже после оплаты программа-вымогатель не освобождает ваш компьютер и не расшифровывает файлы автоматически.
Вместо этого жертвам приходится ждать и надеяться, что разработчики WannaCry удаленно освободят заложенный компьютер через Интернет.Это полностью ручной процесс, который содержит серьезный недостаток: хакеры не могут доказать, кто заплатил выкуп.
«Шансы вернуть свои файлы в расшифрованном виде очень малы, — сказал Викрам Такур, технический директор компании Symantec, занимающейся безопасностью. «[Жертвам] лучше сэкономить деньги и восстановить поврежденные компьютеры».
Программа-вымогатель WannaCry, также известная как WanaDecryptor, взорвалась в прошлую пятницу, заразив уязвимые системы Windows, как компьютерный червь.На сегодняшний день более 300000 машин в 150 странах были поражены, сообщил на брифинге в понедельник советник по внутренней безопасности США Том Боссерт.
Заражение поражает путем шифрования всех файлов на ПК и отображения записки о выкупе с требованием 300 или 600 долларов США в биткойнах. Файлы жертв, которые не заплатят, будут удалены через семь дней.
Владельцы этих машин могут испытать соблазн заплатить выкуп, но не рассчитывайте, что ваши файлы вернутся, — сказал Мэтью Хики, директор службы безопасности Hacker House.
Злоумышленники могут восстановить системы пользователей только вручную, отправив ключ дешифрования на каждый зараженный компьютер, что, по его словам, займет много времени.
«Вы действительно во власти человека-оператора. Кто-то на другом конце связи, — сказал Хики.
Другая проблема заключается в том, что WannaCry не имеет механизма, позволяющего определить, кто за что заплатил и какой компьютер должен быть выпущен.
Жертв просто просят отправить платеж на один из трех биткойн-кошельков, а затем дождаться ключа дешифрования, сказала Майя Горовиц, менеджер группы по анализу угроз в охранной фирме Check Point.
Но, в отличие от большинства программ-вымогателей, WannaCry не имеет процесса, позволяющего однозначно идентифицировать, какой выкуп привязан к какому компьютеру, сказал Хоровиц. Вместо этого пользователям остается кнопка на отображаемой записке с требованием выкупа с надписью «проверить платеж».
«Появится сообщение об ошибке:« Мы не получили ваш платеж. Лучшее время для повторной попытки — с понедельника по пятницу с 9 до 11 часов », — сказал Горовиц.
И Хики, и Горовиц заявили, что не слышали ни о каких случаях, когда жертвы успешно освобождали свои компьютеры, заплатив выкуп.
Тем не менее, Микко Хиппонен, главный исследователь компании-поставщика средств безопасности F-Secure, написал в понедельник в Твиттере, что некоторым жертвам, которые заплатили, вернули свои файлы. Пока что F-Secure не предоставила более подробной информации.
Согласно записям трех биткойн-кошельков, предоставленных для оплаты, хакерам, стоящим за WannaCry, уже удалось заработать более 56 000 долларов. Но неэффективность платежной модели заставляет Хикки задуматься, действительно ли хакеры гонятся за деньгами.
«Если это было сделано ради денег, это был не лучший способ получить их», — сказал он.
Например, хакеры могли снизить цену выкупа до 10 долларов, сделав ее дешевой для всех. Для вредоносной программы, заразившей более 300 000 машин, даже небольшой выкуп мог привести к огромным выплатам.
Вместо этого хакеры запросили крупную сумму, а затем использовали некачественный процесс оплаты, который заставлял жертв задуматься, получат ли они то, за что заплатили.
«Это устраняет стимул отправлять деньги злоумышленнику», — сказал Хики.
Пока неясно, кто создал WannaCry — любители или опытные хакеры.Тот факт, что в программе-вымогателе был «аварийный выключатель», который исследователь смог активировать в пятницу, остановив атаку, по крайней мере, на время, предполагает, что кодировщики были небрежны.
Но WannaCry делает по крайней мере одну вещь хорошо: безупречно шифрует все файлы на зараженной машине. Специалисты по безопасности все еще изучают программы-вымогатели в поисках способов спасти уже зараженные компьютеры.
«Внедрение шифрования было довольно надежным, — сказал Такур из Symantec. «Не было никакого пробела, чтобы вскочить и расшифровать файлы.”
Эксперты по безопасности также предупреждают, что WannaCry может снова ударить по новым, обновленным вариантам.
Чтобы предотвратить заражение, пользователи должны установить последние исправления для уязвимых систем Windows, таких как Windows 8, и запустить антивирусные продукты, такие как Защитник Windows, который может обнаруживать и останавливать программы-вымогатели.
Восстановление данных, зашифрованных программой-вымогателем WannaCry
Можно ли восстановить данные после атаки программы-вымогателя WannaCry? Ответ да, и нет. Если ваш компьютер был перезагружен, извините, ваши данные исчезли навсегда.Но если нет, то тебе повезло.
Французский исследователь безопасности Адриен Гине нашел способ расшифровать данные, зашифрованные WannaCry, получив ключ шифрования, используемый программой-вымогателем.
Мне нужно завершить процесс полного дешифрования, но я подтверждаю, что в этом случае закрытый ключ можно восстановить в системе XP #wannacry !! pic.twitter.com/QiB3Q1NYpS
— Адриен Гине (@adriengnt) 18 мая 2017 г.
Но есть загвоздка: он работает только в Windows XP, которая не была перезагружена после заражения.«Чтобы это сработало, вам нужна удача», — предупреждает Адриан Гине.
Инструмент называется WannaKey. Вместо того, чтобы искать фактический ключ, он выбирает другой путь и восстанавливает простые числа закрытого ключа RSA, используемого WannaCry, который может использоваться для восстановления файлов, зашифрованных программой-вымогателем, на зараженных компьютерах.
Причина, по которой он работает на компьютере с Windows XP, заключается в том, что простые числа не очищаются в памяти в XP, а стираются на компьютерах с Windows 7, 8 и 10 при освобождении связанной памяти, поскольку «CryptReleaseContext» является срабатывает.
Основываясь на этом удивительном открытии, Бенджамин Депли (@gentikiwi) сделал шаг вперед и выпустил еще один инструмент под названием wannakiwi, который извлекает ключ не только с компьютеров XP, но и с Windows 7.
No related posts.

Wannacry расшифровать данные: Расшифровка файлов после вируса WannaCry. Получение ключа для расшифровки файлов.

WannaCry (WannaCrypt) – анализ вируса-шифровальщика и методов защиты

Введение

Корни WannaCry

Анализ WannaCry

Признаки заражения WannaCry

Защита от WannaCrypt и других шифровальщиков

Выводы

WannaCry

Проверка

Защита

1. Ручное отключение SMBv1

2. Из консоли

3. Отключение утилитой

Удаление заразы

Расшифровка

Защита от программы-вымогателя WannaCry

Что такое программа-вымогатель WannaCry?

Защищены ли мои устройства от этой угрозы?

Запустите LiveUpdate

Требуется дополнительная помощь?

С помощью этого решения мне удалось легко устранить неполадку.

Помогите нам улучшить это решение.

Благодарим вас за комментарии относительно качества обслуживания.

Какие действия следует выполнить сейчас?

Как защищаться от атаки вируса-шифровальщика WannaCry

Меры безопасности

Вирус CRYPTED000007 — как расшифровать файлы и удалить вымогателя. Как защищаться от атаки вируса-шифровальщика «WannaCry Новый вирус шифровальщик как бороться

Навигация по записям

Последние новости раздела

Популярное за неделю

Что делают вирусы-вымогатели?

Как не стать жертвой вируса

Техническая защита от вирусов-шифровальщиков

Защита от фишинга

Как восстановить файлы после заражения

Выводы

Эксперты Positive Technologies подготовили рекомендации по обнаружению и противодействию вирусу-шифровальщику WannaCry

Шифровальщик WannaCry. Рекомендации

Рекомендации по предотвращению заражения

Рекомендации по обнаружению зараженных узлов

Рекомендации по локализации и ликвидации заражения

ПРИЛОЖЕНИЕ №1. Подготовка отчета по узлам с уязвимостью CVE-2017-0145 EternalBlue

ПРИЛОЖЕНИЕ №2. Обнаружение уязвимости CVE-2017-0145 EternalBlue в режиме Audit

ПРИЛОЖЕНИЕ №3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest

Эпидемия шифровальщика WannaCry: что произошло и как защититься

Что произошло?

Что такое WannaCry?

WannaCry: эксплойт и способ распространения

WannaCry: шифровальщик

Как регистрация домена приостановила заражение и почему это еще не все

Для уверенной защиты данных рекомендуем решения:

Резервное копирование данных Acronis

Антивирусная защита «Лаборатории Касперского»

WannaCry Ransomware: инструменты дешифруют бесплатно

Французские исследователи безопасности спешат на помощь

Попробуйте WanaKiwi First

В надежде на арест

Хотите расшифровать ваши файлы? Решение WannaCry для некоторых — Malwarebytes Labs

ВАЖНО:

Использование

Fallout

Фон

Эффективность

Заключение

Можно ли расшифровать файлы, заблокированные WannaCry: Технический анализ | по угрозе Intel | Угроза Intel

Выпущен инструмент дешифрования программ-вымогателей WannaCry; Разблокировать файлы без уплаты выкупа

Ключи дешифрования программ-вымогателей WannaCry

WanaKiwi: средство дешифрования программ-вымогателей WannaCry

Исследователь безопасности говорит, что он придумал, как расшифровать WannaCry

Уплата выкупа WannaCry, вероятно, ничего вам не принесет.Вот почему.

Восстановление данных, зашифрованных программой-вымогателем WannaCry

Добавить комментарий Отменить ответ