Вирус Wannacry – как защититься и [без потерь] восстановить данные

Инструкция по удалению вируса Wana Decrypt0r (WannaCry)

Wana Decryptor 2.0 это новая версия вируса WannaCry, который использует уязвимость Windows и заражает компьютер пользователя без какой-либо видимой активности. После проникновения компьютера жертва увидит заставку, которая напоминает ему, что файлы были зашифрованы. Кроме того, появляется всплывающее окно с информацией о вирусе. Мы постараемся ответить на следующие вопросы: как удалить Wana Decrypt0r и восстановить зашифрованные данные с расширением WNCRY.

Вирус может попасть на ваш компьютер с помощью вредоносных дополнений в электронной почте или через 445-й интернет-порт из-за уязвимости операционной системы, после чего сразу начинает шифровать информацию. Если антивирусу не удалось поймать вирус и тот проник в систему, все ваши файлы с информацией будут зашифрованы. Это относится к текстовым файлам txt, doc, docx, а также различным изображениям. Wana Decrypt0r кодирует все типы файлов, включая видео, текст, изображения и аудио. Кодирование занимает от пяти минут до нескольких часов. Скорость кодирования может варьироваться в зависимости от емкости компьютера и количества хранимой на нем информации. Сумма платежа составляет 300 долларов США, и если вы не заплатите за три дня, сумма будет удвоена. Через 7 дней преступники угрожают удалить все файлы.

Щифровальщики — очень опасный вид вирусов, с которыми может столкнуться пользователь. Большинство вирусов вызывает только дискомфорт, и плоды их действий могут быть устранены за несколько минут, но вымогатель приносит серьезный вред, и в большинстве случаев вам нужно потратить средства и время, чтобы исправить последствия. Самым злонамеренным из всех являются вымогатели, такие как Wana Decrypt0r, которые приносят наибольшую пользу разработчикам, и большие потери для жертв.

Большинство вымогателей применяют чрезвычайно сложные алгоритмы шифрования, такие как AES-128 и RSA-2048, которые используются для защиты информации целых стран, секретных служб и крупных корпораций. Wana Decrypt0r не является исключением. Это означает, что у вас есть только один абсолютно надежный метод восстановления файлов: использовать резервную копию. Возможно, через некоторое время будет сделан расшифровщик рупными антивирусными компаниями, в частность Emsisoft и Kaspersky выпускают декрипторы для различных шифровальщиков. Пока отсутствие резервных копий означает, что вы можете забыть о своих файлах, потому что вы не можете быть уверены, что хакеры, которые украли ваши файлы, не обманут вас еще раз, когда платеж будет получен. Ваши данные могут быть восстановлены несколькими способами, и хоть они не являются абсолютно эффективными мы расскажем о них.

Восстановление файлов — главная цель, о которой вам придется озаботится, если ваши файлы были заражены с помощью шифрующего вируса. Но тем не менее, прежде чем восстанавливать файлы, необходимо удалить вирус с компьютера для защиты новых файлов. Неважно, какой метод восстановления вы выберете, вам все равно придется устранить Wana Decrypt0r. Используя дешифрование или загрузку резервных копий, вы должны удалить Wana Decrypt0r, и даже если вы предпочитаете заплатить этим преступникам — Wana Decrypt0r необходимо удалить до полного восстановления данных.

Как удалить Wana Decryptor с компьютера

WannaCry: как защититься от вируса-шифровальщика

Краткое руководство для обычных пользователей и представителей малого бизнеса, которые хотят минимизировать вероятность заражения вирусом WannaCry и другими типами вредоносных программ.

WannaCry: как распространяется и чем опасен?

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать.

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

  • Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
  • Поменяйте драйвера.
  • Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
  • Обновите операционную систему и все остальное ПО.
  • Обновите и запустите антивирусник.
  • Повторно подключитесь к сети.
  • Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус. Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Защита информации от уничтожения

Но NCA настойчиво призывает не платить деньги. Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

  • Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
  • Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
  • В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать здесь.

2. Сделать резервные копии важной информации.

Рекомендуется хранить копии важных файлов в надежном месте на съемных носителях информации либо использовать специализированные средства резервного копирования.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Вирус Wannacry – как защититься и без потерь восстановить данные

Если ваш компьютер или сразу несколько устройств в домашней или рабочей сети поразил вирус Wannacry – читайте нашу статью. Здесь вы узнаете, как защититься и не допустить заражения, а также как правильно расшировать зашифрованные данный

Важность этих знаний подтверждается информацией о более чем 150 тысячах заражённых в 2017-м году компьютеров, в операционную систему которых попал вредоносный код WC.

И, хотя глобальное распространение угрозы было остановлено, не исключено, что следующая версия программы-шифровальщика станет ещё более эффективной, и к её появлению стоит готовиться заранее.

Последствия

Первые признаки заражения компьютеров вирусом-вымогателем были обнаружены 12 мая 2017 года, когда неизвестная программа вмешалась в работу тысяч пользователей и сотен различных организаций по всему миру.

Вредоносный код начал своё распространение в 8-00 и уже в течение первого дня заразил больше 50 тысяч ПК с установленной на них платформой Windows.

Больше всего заражений пришлось на российские, украинские и тайваньские компьютеры – хотя первые данные поступили из Великобритании, а среди пострадавших организаций были испанские и португальские телекоммуникационные компании и даже автоконцерн «Рено».

В России он атаковал операторов мобильной связи «Мегафон», «Билайн» и «Йота», министерство чрезвычайных ситуаций, Министерство внутренних дел, ГИБДД и Управление железных дорог. Из-за этого в некоторых регионах страны были отменены экзамены на получение водительских прав, а ряд организаций временно приостановили свою работу.

Рис. 1. Окно с требованиями заплатить разработчикам

Требования разработчиков вредоносного кода

Результатом заражения компьютеров стало блокирование большинства находящихся на их жёстких дисках файлов.

Но, учитывая, что нерасшифрованные файлы с большой вероятностью не могли быть восстановлены, пользовательский вариант казался более подходящим.

На рабочем столе заражённого компьютера появлялись окна с требованиями заплатить мошенникам для разблокировки информации.

Сначала злоумышленники требовали только $300, через некоторое время сумма выросла уже до 500 долларов – и после оплаты не было никаких гарантий, что атака не повторится – ведь компьютер по-прежнему оставался заражённым. Но, если отказаться от оплаты, зашифрованные данные пропадали через 12 часов после появления предупреждения.

Способы распространения угрозы

Разработчики вредоносной программы использовали для заражения компьютеров с Windows уязвимость этой операционной системы, которая была закрыта с помощью обновления MS17-010.

Жертвами в основном, стали те пользователи, которые не установили это исправление в марте 2017-го года. После установки (ручной или автоматической) обновления удалённый доступ к компьютеру был закрыт.

А уже после заражения одного компьютера вирус продолжал распространяться внутри локальной сети в поисках уязвимостей – по этой причине самыми уязвимыми оказались не отдельные пользователи, а крупные компании.

Профилактика заражения

Несмотря на серьёзную опасность попадания вируса (и его новых версий) практически на любой компьютер, существует несколько способов избежать заражения системы. Для этого следует предпринять следующие меры:

  • убедиться в установке последних исправлений безопасности, и если они отсутствуют, добавить вручную. После этого следует обязательно включить автоматическое обновление – скорее всего, эта опция была выключена;

Рис.2. Включение автоматического обновления системы.

  • не открывать письма с вложениями от незнакомых пользователей;
  • не переходить по подозрительным ссылкам – особенно, если об их опасности предупреждает антивирус;
  • установить качественную антивирусную программу – например, Avast или Антивирус Касперского, процент обнаружения Ванна Край у которых максимальный. Большинство менее известных и, особенно, бесплатных приложений защищают платформу хуже;

Рис.3. Окно антивируса Avast, эффективно противостоящего заражению Ванна Край.

  • после заражения сразу же отключить компьютер от Интернета и, особенно, от локальной сети, защитив от распространения программы-вымогателя другие устройства.

Кроме того, пользователю стоит периодически сохранять важные данные, создавая резервные копии. При возможности, стоит копировать информацию на USB-флешки, карты памяти и не подключенные к компьютеру жёсткие диски (внешние или съёмные внутренние).

При возможности восстановления информации ущерб от вируса будет минимальным – при заражении компьютера достаточно просто отформатировать его устройство хранения информации.

Лечение заражённого ПК

Если компьютер уже заражён, пользователь должен попробовать вылечить его, избавившись от последствий действия WannaCry. Ведь после того как вирусная программа попала в систему, происходит шифрование всех файлов с изменением их расширений. Пытаясь запустить приложения или открыть документы, пользователь терпит неудачу, что заставляют его задуматься о решении проблемы, заплатив требуемые $500.

Основные этапы решения проблемы:

1Запуск служб, встроенных в операционную систему Виндоус. Шанс на положительный результат в этом случае небольшой, поэтому, скорее всего, придётся воспользоваться другими вариантами;

Рис.4. Попытка восстановить работу Windows с помощью встроенных возможностей.

Переустановка системы. При этом следует отформатировать все заражённые разделы жёсткого диска – не исключено, что при этом будет потеряна вся информация;

3Переход к расшифровке данных – этот вариант используется, если на диске находятся важные данные.

4Процесс восстановления файлов начинается со скачивания соответствующих обновлений и отключения от Интернета. После этого пользователь должен запустить командную строку (через «Пуск» и раздел «Стандартные» или через меню «Выполнить» и команду cmd) и заблокировать порт 445, закрыв путь проникновения вируса. Это можно сделать, введя команду netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445.

Рис.5. Запуск команды, закрывающей 445-й порт.

5Теперь следует запустить безопасный режим Windows. Для этого при загрузке удерживается клавишу F8 для перехода к меню запуска компьютера и выбирается соответствующий пункт. В этом режиме открывается папка с вредоносным кодом, которая находится с помощью появившегося на рабочем столе ярлыка вируса. После удаления всех файлов в каталоге необходимо перезапустить систему и снова включить Интернет.

Расшифровка файлов

После того как работа WannaCry остановлена от пользователя требуется восстановить все зашифрованные файлы.

Стоит отметить, что теперь для этого есть гораздо больше времени, чем 12 часов – поэтому, если своими силами вернуть данные не получится, можно будет обратиться к специалистам и через несколько дней или месяцев.

Рис. 6. Запуск программы

Рис.7. Рабочая зона

Рис. 8. Запуск процесса восстановления

  • Windows Data Recovery, благодаря которой, в основном, восстанавливаются фотографии. Хотя с её же помощью расшифровываются и другие файлы;

Рис.9. Работа программы Виндоус Дата Рекавери.

Рис. 10. Восстановление файлов через программу в 1 клик

  • утилиты, выпускающиеся Лабораторией Касперского специально для восстановления зашифрованных сведений.

Рис. 11. Запуск утилиты

Рис.12. Процесс возобновления данных

Выводы

Поражение десятков тысяч компьютеров вирусом WannaCry показало, что далеко не все системы безопасности и антивирусы способны справиться с новыми видами вредоносного кода.

Хотя одним из способов избежать такой ситуации является использование других операционных систем – например, MacOS или Unix. А ещё – постоянная проверка Windows на вирусы и сохранение самых важных файлов на других носителях.

Как восстановить файлы, зашифрованные вирусом WannaCry?

Как расшифровать файлы, зашифрованные вирусом WannaCry, не отсылая вымогателям деньги?

Как восстановить доступ к файлам после заражения вирусом-шифровальщиком WannaCry?

Как спасти информацию на компьютере после атаки вируса-вымогателя WannaCrypt?

Существуют ли способы восстановления доступа к файлам после заражения WannaCry, без оплаты выкупа вымогателям?

Как восстановить файлы после вируса-шифровальщика WannaCry?

На сегодняшний день вирусом Wana Decryptor и WannaCry поражено большинство компьютеров и этот вирус считаются одним из мошнейших вирусов за последние года. Этот вирус атаковал правительственные компьютеры и они выдавали ошибку, хотя считается, что они очень хорошо защищены от таких нападений, но это видимо сильный вирус, раз смог взломать защиту и до сих пор крупнейшие антивирусные компании борятся с этим вирусом и дорабатывают свои антивирусные программы для борьбы с Wana Decryptor и WannaCry. Программисты советуют установить Firewall и закрыть порты 135 и 445, так это может предостеречь от повторных атак вируса, а вот восстановить зараженные файлы еще никто не может.

Вирус WannaCry — мощнейший за последние года компьютерный вирус, задача которого заключается в вымогательстве денег в обмен на зашифрованные файлы.

Вирус поразил множество компьютеров в т.ч. гос учреждений. Программисты всего мира активно создают блокировщики. Так, виндоус объявил об официальном плане действий для предотвращения атак. Тайский ученый также создал антивирус, убивающий WannaCry.

Однако эти методы хороши лишь для остановки злодеяний, восстановить файлы, поврежденные вирусом — невозможно. По крайней мере на данный момент еще не придумано такого средства.

Тот, кто сталкивался с шифровальщиками, вымогающими деньги (а мне, пусть и не лично, но доводилось) — тот уже знает, что уже не один год «медицина здесь бессильна» во многих случаях.

Иногда «медицина» всё же помогает. Однако, не в случае с WannaCry, увы.

Восстановить файлы можно лишь из резервной копии. Если её делали.

Сейчас вирус WannaCry или Wana Decryptor поражает все больше компьютеров. Но пока ничего хорошего программисты сказать не могут. Единственное, что советуют как защитить свои системы от этого вируса — надо закрыть порты 135 и 445. Кроме того, можно установить программу Firewall, это брандмауэр, который блокирует атаки.

К сожалению, на данный момент времени, файлы, пораженные WannaCry, пока никак нельзя восстановить. Единственный вариант — если делается резервная копия файлов, то только её использование может помочь в восстановление файлов.

Восстановить свои файлы, зашифрованные вирусом-вымогателем WannaCry, на данный момент времени не представляется возможным. Единственное, что предлагается сегодня — это максимальная защита компьютера посредством обязательной установки патча MS17-010, либо (если использование обновления невозможно) применением лицензионной программы-антивируса и обязательное создание копий ценных файлов с надёжным их сохранением.

Если печально известным вирусом WannaCry были заражены файлы на ПК, расшифровать данные можно.Как это сделать, рассказал миру француз Адриен Гинье, программист фирмы Quarkslab. Он уже сумел восстановить файлы на ПК многих пользователей из разных стран, включая Россию. Только с Windows XP работает его метод под названием Wannakey. В свойствах файла нужно выбрать совместимость с XP советует этот специалист.

Как восстановить файлы после WannaCry? В сети есть инструкции, которые помогают пользователям защититься от известного вируса WannaCry, который поразил как обычных людей, так и организации, в том числе государственные. Вот например:

На данный момент уже есть два инструмента для дешифрования зашифрованных файлов вирусом WannaCry, то есть появилась возможность восстановить доступ к данным:

  1. Исследователь Адриен Гинье разработал утилиту WannaKey, с помощью которой, можно восстановить доступ к файлам, но этот способ работает, только если зараженной системой является Windows XP и только, если после заражения вирусом WannaCry, компьютер не перезагружали.
  2. Эксперт безопасности Бенжамин Делфи создал программу WanaKiwi. Этот инструмент, можно использовать на следующих системах: Windows XP, Windows Vista, Windows 7, а также Windows Server 2003 и Windows Server 2008.

Узнать подробности и ссылки на загрузку программ, можно здесь и тут.

Вирусная атака WannaCry продолжается. Как обезопасить себя?

В мае 2017 г. в сети Интернет распространился опасный вирус-вымогатель WannaCry. Сегодня мы расскажем, как защититься от инфицирования и потери информации.

Попадая на незащищенный компьютер, вредоносная программа WannaCry (также известная как Wanna Decryptor) зашифровывает важнейшие файлы пользователя (например, офисные документы, базы данных и др.), после чего выводит на экран сообщение с требованием выкупа.

Атакам вируса подвержены компьютеры, работающие под управлением всех версий Microsoft Windows , от XP до Win10. К настоящему времени во всем мире заражены свыше 300 000 компьютеров. Значительное количество из них приходится на пользователей России.

Для защиты компьютера и информации необходимо установить текущие обновления операционной системы Windows. Уязвимость, которую использует вирус для проникновения на компьютеры, была устранена еще в мартовском пакете обновлений. Выполнив обновление системы, вы обеспечите полную защиту от проникновения WannaCry . Следует помнить, однако, что уже зараженному компьютеру обновление ничем не поможет. Поэтому очень важно привести операционную систему в актуальное состояние заранее, чтобы исключить риск заражения.

Патчи для исправления уязвимости можно скачать на официальном сайте Центра безопасности Microsoft:

  • Security Update for Microsoft Windows SMB Server (4013389) (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
  • Патчи для старых систем (Windows XP, Windows Server 2003 и др.)(https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)

Просим обратить внимание на то, что даже наличие антивирусного программного обеспечения не гарантирует полной безопасности. Ценность информации, которую уничтожит вирусная программа, может составлять десятки и сотни тысяч рублей, а восстановление данных займет значительное время (а в отдельных случаях такое восстановление будет вообще невозможно).

Чтобы обеспечить информационную целостность данных и защитить Вашу компанию от кибер-угроз, «Первый БИТ» рекомендует соблюдать простые правила:

  • Устанавливайте системные обновления Microsoft Windows по мере их выхода! В первую очередь это касается критических обновлений и обновлений подсистем безопасности;
  • Пользуйтесь эффективными антивирусными программами! Регулярно выполняйте обновление антивирусных баз и делайте проверки всех компьютеров;
  • Систематически создавайте архивные копии всех значимых данных! Копии должны храниться отдельно от рабочих данных (на другом компьютере, сетевом диске, съемном носителе, CD/DVD и т.п.).

Регулярное выполнение архивации данных можно выполнять с помощью специализированного программного обеспечения. Наиболее эффективно и безопасно хранить архивные копии в сетевых хранилищах с ограниченными правами доступа. В случае любых сбоев, потерь данных, хакерских и вирусных атак, значимую информацию можно будет восстановить из резервной копии.

✓ Нуждаетесь в консультации и помощи квалифицированных специалистов по безопасности?

Позвоните нам прямо сейчас! Эксперты «Первого БИТа» помогут Вам найти оптимальное решение любых задач!

Оставайтесь с «Первым БИТом» — оставайтесь Первыми!

Как защитить себя от вируса Wannacry в Windows?

Здравствуйте. 12 мая 2017 года мир столкнулся с новой компьютерной угрозой — вирус wannacry Windows 7 поразил за несколько часов более ста тысяч ПК с операционной системой Виндовс, нанеся непоправимый ущерб как крупным компаниям, так и домашним пользователям. Сегодня расскажу о путях распространения заразы, негативных последствиях и способах защиты.

«Хочется плакать!»

Именно так перевели многие ресурсы название вируса, но, на самом деле полное название шифровальщика звучит так – «ransomware wanacrypt0r 2.0», то есть, «cry» — это сокращение от «cryptor».

Но, судя по ужасающим результатам воздействия трояна, именно такую реакцию он вызывал у тысяч юзеров по всем миру. Ну как тут не заплакать, когда все файлы на ПК за короткий промежуток времени были зашифрованы без возможности восстановления. А на рабочем столе появилось окно с предложением заплатить злоумышленникам около 500 долларов для снятия блокировки.

Да еще и на счетчик ставят: если не произвести оплату сразу, то через несколько часов стоимость спасения увеличивается в два раза. А спустя 12 часов все файлы будут потеряны.

Способы заражения Wannacry Windows XP

Конечно же, вирус поражает не только эту ОС, но и более новые версии, но именно XP оказался самым уязвимым. Да и большинство корпоративных клиентов продолжают использовать данную систему (банкоматы, терминалы самообслуживания и т.д.), что оказалось большим упущением с их стороны. К примеру, в Китае, где «зараза» разгулялась по полной, пострадали многие предприятия, выпускающие электронику известных мировых брендов. А это вылилось в миллионные убытки всего за пару дней.

Как оказалось, злоумышленникам удалось найти дыры в безопасности Виндовс (устаревший протокол SMB1), и добраться через них к ядру ОС. То есть, для заражения не нужно даже открывать файл с вирусом, достаточно просто включить ПК или подключиться к сети интернет. Известны случаи, когда опасность распространялась молниеносно между сетевыми компьютерами и даже поражала файлы, хранящиеся на «облачных» сервисах (Яндекс диск, Google Drive, Dropbox, One Drive).

Еще одним способом распространения является стандартный метод – через электронную почту. Вам приходит письмо с предложением оформить выгодный кредит или получить бесплатно карту какого-либо банка. В тексте присутствуют ссылки для перехода на сайт, кликнув по которым Вы запустите «машину судного дня»:

Или же Вам присылают изображение, документ во вложении, открыв который, Вы открываете вирусу двери к Вашей файловой системе.

Существует ли защита от Wannacry?

  • Самый лучший способ – не открывать письма от неизвестных отправителей, не переходить по подозрительным ссылкам. Особенно, если в социальных сетях Вам предлагают посмотреть пикантное видео с участием знаменитостей, а для этого нужно кликнуть на линк с окончанием «exe», к примеру, «posle_finala_evrov >
  • Компания Microsoft также выпустила обновление безопасности, нужно только установить его. Для этого стоит активировать функцию автоматического обновления (если она отключена), скачать последние апдейты и вздохнуть с облегчением.

  • Этот вариант немного примитивный, но всё же. Если не нуждаетесь в интернет подключении (во время набора текстов, в процессе игры, просмотра фильмов, скачанных на ПК, и т.д.), просто отключитесь от сети – отсоедините кабель, деактивируйте беспроводной модуль WiFi.

Доступен еще один эффективный метод защиты — используйте патч от wannacry, выбрав из списка ниже вариант, соответствующий Вашей версии Виндовс:

  • XP SP3 | x64
  • Vista | x64
  • Windows 7 | x64
  • Windows 8 | x64
  • Windows 8.1 | x64
  • Windows 10 | x64

Пока это все варианты лечения, доступные нам. Возможно, антивирусные лаборатории в скором времени придумают что-то новое, более эффективное. Увы, расшифровать данные пока нет возможности. И единственный правильный путь – это распространить данную статью между большим количеством людей, чтобы предотвратить размножение заразы. Не забудьте предупредить родственников и знакомых, особенно, если они используют устаревшие версии Виндовс.

Из этой статьи вы узнали, что за вирус Wannacry Windows 7 и как не допустить его проникновение на компьютер. Буду рад услышать любые мысли по этому поводу в комментариях.

Как расшифровать файлы после WannaCry

Вариант 1. Используйте утилиту WanaKiwi, если компьютер не перезагружался после заражения, а версия ОС — Windows XP или x86 Windows 7, 2003, Vista, Server 2008 и 2008 R2

Если компьютер с операционной системой Windows не перезагружался, то данные да нем можно сохранить минуя выкуп, требуемый вирусом WannaCry. Ключ к решению содержится в самой операционной системе, — заявляют специалист по интернет-безопасности Quarkslab Адриен Гине, всемирно известный хакер Мэтт Сюиш и фрилансер Бенжамен Дельпи. Сама система предотвращает уничтожение файлов по истечению срока, назначенного для уплаты выкупа. Этот метод используется во всех версиях Windows. Новый инструмент для сохранения данных специалисты назвали Wanakiwi . В своем блоге Мэтт Сюиш опубликовал подробности применения открытого способа борьбы с вирусом, описав все технические детали.

Источник: https://usa.one/2017/05/francuzskie-specialisty-nashli-sposob-soxranit-fajly-na-kompyuterax-zablokirovannyx-virusom-vymogatelem/ » Французские специалисты нашли способ сохранить файлы на компьютерах, заблокированных “вирусом-вымогателем” © Новости США на русском

На базе WannaKey был создан инструмент wanakiwi, который работает не только с Windows XP, но и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Также его эффективность уже подтвердили специалисты Европола.

К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».

Источник: https://xakep.ru/2017/05/19/wanakiwi/ » Появился еще один дешифровщик для WannaCry, подходящий для Windows XP и 7

Скачайте утилиту wanakiwi для расшифровки файлов, зашифрованных WannaCry, здесь.

Вариант 2. Используйте утилиту Shadow Explorer для возможного восстановления части зашифрованных файлов.

Существует небольшой шанс самостоятельно восстановить зашифрованные файлы при следующих условиях:

  1. если система восстановления Windows не была отключена;
  2. если в системе Windows был включен UAC (контроль учетных записей) и на запрос от шифровальщика WannaCry пользователь не ответил согласием (была нажата кнопка Нет или No — пример на скрине);
  3. или если процесс шифрования был по какой-то причине прерван, в результате чего Wana Decrypt0r 2.0 не смог удалить теневые копии файлов.

Для проверки возможности восстановления зашифрованных файлов после WannaCry воспользуйтесь утилитой Shadow Explorer.

Инструкция по работе с утилитой (на английском языке).

Вариант 3. Используйте утилиту Disk Drill для возможного восстановления части зашифрованных файлов.

Не все файлы не восстанавливаются

Это объясняет, почему были утверждения, что некоторые инструменты доступны для расшифровки всех файлов, заблокированных WannaCry. К сожалению, из нашего анализа того, как работает это вымогательство, кажется, что только несколько файлов, зашифрованных демо-ключом, могут быть расшифрованы инструментом.

Но может быть какая-то надежда. Файлы, хранящиеся на Рабочем столе, Моих документах или на любых съемных дисках компьютера во время заражения, перезаписываются случайно сгенерированными данными и удаляются. Это означает, что восстановить их с помощью средства восстановления файлов или восстановления диска невозможно.

Однако из-за возможных слабых мест в вредоносном ПО можно восстановить другие зашифрованные файлы в системе, когда они были сохранены за пределами этих трех местоположений, используя средство восстановления диска, так как большинство файлов перемещаются во временную папку и Затем, как правило, удаляется, но не перезаписывается с помощью очистителя. Однако коэффициент восстановления может отличаться в разных системах, поскольку удаленный файл может быть перезаписан другими операциями с дисками.

Короче говоря, можно восстановить некоторые файлы, которые были зашифрованы с помощью WannaCrypt, но не заплатили выкуп, однако восстановление всех файлов без резервного копирования в настоящее время представляется невозможным.

В качестве примечания по безопасности, будьте осторожны с любыми сервисами, предлагающими расшифровать все файлы и т. Д., Так как эти расшифровщики вполне могут быть скрыты вредоносными программами.

Мы проверили восстановление файлов с помощью средства восстановления диска Disk Drill , на скриншоте ниже показаны удаленные файлы, которые были обнаружены и восстановлены с помощью этого инструмента:

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

Иногда создатели программ-вымогателей допускают ошибки в коде. Эти ошибки могут помочь пострадавшим вновь получить доступ к своим файлам после заражения. В нашей статье кратко описываются несколько ошибок, допущенных разработчиками вымогателя WannaCry.

Ошибки в логике удаления файла

Когда Wannacry шифрует файлы на компьютере жертвы, он читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования он перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. Логика этого удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

При расположении файлов на системном диске:

Если файл находится в «важной» папке (с точки зрения разработчиков вымогателя, например на рабочем столе или в папке «Документы»), то перед его удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

Если файл хранится вне «важных» папок, то оригинальный файл будет перемещен в папку %TEMP%%d.WNCRYT (где %d – это числовое значение). Такой файл содержит первоначальные данные, поверх которых ничего не пишется, – он просто удаляется с диска. Поэтому существует высокая вероятность, что его можно будет восстановить при помощи программ восстановления данных.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

При расположении файлов на прочих (несистемных) дисках:

  • Вымогатель создает папку «$RECYCLE» и задает ей атрибуты «скрытая» и «системная». В результате папка становится невидимой в Проводнике Windows, если конфигурация Проводника задана по умолчанию. По плану оригинальные файлы после шифрования будут перемещены в эту папку.

Процедура, определяющая временную директорию для хранения оригинальных файлов перед удалением

  • Однако из-за ошибок синхронизации в коде вымогателя оригинальные файлы во многих случаях остаются в той же директории и не перемещаются в папку $RECYCLE.
  • Оригинальные файлы удаляются небезопасно. Этот факт делает возможным восстановление удаленных файлов при помощи программ восстановления данных.

Оригинальные файлы, которые можно восстановить с несистемного диска

Процедура, генерирующая временный путь для оригинального файла

Участок кода, вызывающий описанные выше процедуры

Ошибка обработки файлов с защитой от записи

Анализируя WannaCry, мы также обнаружили, что в вымогателе допущена ошибка в обработке файлов с защитой от записи. Если на зараженном компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригинальные файлы только получат атрибут «скрытый». В таком случае их легко найти и восстановить их нормальные атрибуты.

Оригинальные файлы с защитой от записи не зашифровываются и никуда не перемещаются

Выводы

В результате проведенного нами глубокого исследования данного вымогателя становится понятно, что его разработчики допустили множество ошибок, а качество кода довольно низкое, как мы отметили выше.

Если ваш компьютер был заражен вымогателем WannaCry, существует большая вероятность, что вы сможете восстановить многие из зашифрованных файлов. Для этого можно воспользоваться бесплатными утилитами для восстановления файлов.

Ссылка на основную публикацию