Вирус шифровальщик Wana Decryptor / WanaCrypt0r / Wanna Cry / WNCRY

12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

вирус Wana Decryptor

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.

К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.

Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

вирус Wana Decryptor

Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.

И последним именем, под которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Как Wana Decryptor проникает на компьютер?

Причиной быстрого распространения Wana Decrypt0r шифровальщика является наличие уязвимости в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версия Windows, от Windows 7 до Windows 10. Ещё 14 марта 2017 г. было выпущено обновление «MS17-010: Обновление безопасности для Windows SMB Server», но как показывает скорость распространения вируса, это обновление было установлено далеко не на все компьютеры.

Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.

Как WanaDecryptor зашифровывает файлы на компьютере?

При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry

После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Чтобы в дальнейшем иметь возможность зашифровать как можно больше файлов.

На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.

Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.

Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».

Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @Please_Read_Me@.txt — содержит инструкцию по-расшифровке файлов и @WanaDecryptor@.exe — дешифровщик зашифрованных файлов.

На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому, является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.

Как восстановить зашифрованные файлы ?

Как уже говорилось ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec.

Если у вас возникли вопросы или ваш нужна помощь, оставьте комментарий ниже.

Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?

Сначала вам необходимо закрыть уязвимость в оперционной системе, установив обновление MS17-010.

Далее вам необходимо для полноценной защиты компьютера установить антивирус, блокирущий запуск вирусов шифровальщиков.

Как удалить WNCRY вирус?

  1. Нажмите Win+R и введите “appwiz.cpl” и нажмите Enter. В панели управления найдите, что-то похожее на .WNCRY File Ransomware (Wanna Decryptor Virus) и нажмите Удалить.
  2. Удаляем вирус из браузеров
    • Internet Explorer. Нажимаем Tools и выбираем Manage Add-ons. Далее Toolbars and Extensions находим подозрительные плагины и нажимаем Disable.
    • Google Chrome. Запускаем Google Chrome нажимаем на выпадающее меню Настройки - выбираем Tools и далее Extensions. Находим незнакомые расширения и нажимаем справа Удалить.
    • Firefox. Запускаем Mozilla Firefox и нажимаем на кнопку Меню, выбираем Add-ons в выпадающем меню. Нажимаем Extensions и находим неизвестные плагины .WNCRY File Ransomware и нажимаем “Remove”.
  3. Устанавливаем патч MS17-010 для своей операционной системы:

В настоящее время число заражений вирусом-вымогателем WannaCry в последние дни значительно снизилось. Это стало возможным благодаря быстрому реагированию разработчиков антивирусов, компании Microsoft и конечно же пользователям-энтузиастам, представившим двум первым максимальный объем информации для нейтрализации и обезвреживания вируса. Но если теперь сам вирус удалось нейтрализовать, то справиться с последствиями его заражения не так-то просто. Впрочем, кое-какая лазейка для расшифровки зашифрованных разделов имеется, обнаружить ее смогли специалисты французской компании Quarkslab.

Утилиту для расшифровки зашифрованных WannaCry данных предложил Адриен Гине, специалист Quarkslab. Бесплатно ее можно скачать с GitHub. Однако приложение имеет одно главное ограничение, связанное с механизмом заражения WannaCry. Для удачной расшифровки требуется, чтобы компьютер после заражения не перезагружался, поскольку утилита извлекает ключ расшифровки из оперативной памяти, которая, в свою очередь, очищается после каждой перезагрузки операционной системы.

После выхода утилита работала только под Windows XP, но вскоре ее портировали и для Windows 7, поскольку 97% всех заражений как раз приходятся на эту самую популярную версию Windows. Пока неизвестно, будет ли найден способ расшифровки разделов, если пользователь успел перезагрузить свой компьютер.

Как защититься от Wanna Cry?

Защита от вируса WannaCry существует, для этого пользователю необходимо выполнить некоторые действия.

Закройте на компьютере порт 445

Для распространения вирус Wanna Crypt использует открытый порт 445. Поэтому первое, что нужно сделать: проверьте, закрыт данный порт или нет. Проще всего это сделать с помощью онлайн сервиса, например, здесь.

Введите номер порта (445) в поле для проверки. Посмотрите на результат проверки (закрыт порт или открыт).

Если порт на компьютере открыт, запустите командную строку от имени администратора. В окне интерпретатора командной строки введите следующую команду: sc stop lanmanserver

Далее нажмите на клавишу «Enter».

Для Windows 10 введите команду: sc config lanmanserver start=disabled

Для других версий Windows введите команду: sc config lanmanserver start= disabled

Затем нажмите на «Enter», а после этого перезагрузите компьютер.


Добавить комментарий

Пишите полные комментарии, ответы типа "спасибо за статью" не публикуются!

Защитный код
Обновить

Комментарии  

 
# Виталий 14.05.2017 18:57
а как загрузить программы ShadowExplorer и PhotoRec если если браузеры тоже заблокированы
Ответить | Ответить с цитатой | Цитировать
 
 
# Роман 15.05.2017 18:01
безопасный режим с поддержкой сетевых драйверов
http://megosoft.org/viewdownload/8-antivirus/131-shadowexplorer.html
Ответить | Ответить с цитатой | Цитировать
 
 
# Nick 14.05.2017 22:40
А можно ли запретить через локальную политику безопасности запуск файлов с расширением *.wnry? И вообще, как запретить установку файлов с определенным расширением?
Ответить | Ответить с цитатой | Цитировать
 
 
# Роман 15.05.2017 18:05
файлы *.wnry тут не причем, это зашифрованный контент (документы, картинки, музыка) пользователя и исполняемым файлом не являются.
Ответить | Ответить с цитатой | Цитировать
 
 
# Павел 16.05.2017 20:15
а после того как установил программу ShadowExplorer ,что делать?
Ответить | Ответить с цитатой | Цитировать
 
 
# Marlen 16.05.2017 21:54
Добрый вечер!
А у кого релиз 1703, патч от 1607, будет корректно работать или надо искать под 1703?
Ответить | Ответить с цитатой | Цитировать
 
 
# Денис 22.05.2017 10:38
Лечится DrWeb Curreit!
Ответить | Ответить с цитатой | Цитировать
 
Главная Статьи Антивирусная защита Вирус шифровальщик Wana Decryptor / WanaCrypt0r / Wanna Cry / WNCRY