Как работает вирус шифровальщик wncry
[INFORMATION]Если Вам необходимо помощь в удалении WanaDecryptor, то вам необходимо обратиться в этот раздел на форуме и выполнить простые правила сбора информации.[/INFORMATION]
12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.
Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.
Данная уязвимость закрывается патчем MS17-010 ( Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)
Скачать исправление безопасности.
При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО
В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:
Это позволит зашифровать базы данных.
Вымогатель шифрует файлы со следующими расширениями
Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного
После шифрования файлов каталоге добавляются два файла:
- @Please_Read_Me@.txt - сообщение вымогателя
- @WanaDecryptor@.exe - дешифровщик
Далее отобразится окно вымогателя с перечисленными требованиями
Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.
Как расшифровать файлы после WanaCrypt0r?
Если в запросе UAC вы ответили нет, то поможет следующая статья. Так же поможет программа ShadowExplorer.
На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.
Как предотвратить заражение шифровальщиком-вымогателем?
- Абсолютной защиты не существует.
- Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
- Используйте антивирус или будьте готовы к ликвидации последствий.
- Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
- Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.
К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которой от текущей (2.0) был способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
И последним именем, которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Как Wana Decryptor проникает на компьютер ?
Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.
Как WanaDecryptor зашифровывает файлы на компьютере ?
При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:
После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese
Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.
Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:
Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.
Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @Please_Read_Me@.txt — содержит инструкцию по-расшифровке файлов и @WanaDecryptor@.exe — дешифровщик зашифрованных файлов.
На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.
Как восстановить зашифрованные WNCRY файлы ?
Как уже было сказано ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec. Подробно процесс их использования описан в этом руководстве Как восстановить зашифрованные файлы.
Если у вас возникли вопросы или ваш нужна помощь, то можете создать новую тему на нашем форуме или оставить комментарий ниже.
Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?
Сначала вам необходимо закрыть уязвимость в операционной системе, установив обновление MS17-010, ссылку на которое вы можете найти в начале этой статьи. Если установить обновление невозможно, значит отключите использование протокола SMBv1 (Как включить и отключить SMBv1, ссылка) или в файрволе заблокируйте входящие соединения на порт 445.
Для организации полноценной защиты компьютера вам необходимы, как минимум бесплатный антивирус (смотрите эту статью Как выбрать антивирус) и программа для борьбы с вредоносным ПО (смотрите эту статью Как удалить вредоносные программы). Мы рекомендуем использовать Zemana Anti-malware или Malwarebytes. Полные версии этих программ так же включают дополнительный модуль, блокирующий запуск вирусов шифровальщиков.
В качестве дополнительной защиты рекомендую установить программу CryptoPrevent.
Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.
Комментарии
Как скачать Wanna Cry? Интересно посмотреть,если чё просто переустановлю винду-и всё
из статьи следует, что, по идее, файлы с переписанными вручную расширениями не будут зашифрованы. Файлы *.png зашифруются, а *.mypng или *.pngg не зашифруются, надо бы проверить работоспосбность вируса хоть на виртуалочке под линексом. Я бы посоветовал пока переименовать расширения всех жизненно важных файлов, как вариант.
Спасибо,пока что поищу,но есть точная ссылка? Тоже через виртуал попробую
Новички
Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне. Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
Консультанты
Старожилы
2) Прикрепите сообщение вымогателя.
После выполнения скрипта компьютер перезагрузится.
Новички
Я все сообщения вымогателя потер. Попробую восстановить
Восстановить сообщение пока не получается. На всякий случай выкладываю пару нормальный/зашифрованный файлы.
Консультанты
Старожилы
С рассшифровкой помочь не сможем.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Новички
Жаль. А кому-то помогли такие вещи. Или это просто обратно накатываются архивные файлы? Вот отчеты
Или ключевой файл - сообщение вымогателя?
Консультанты
Старожилы
У вас части вируса от заражения ещё в 2015 году остались
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Компьютер будет перезагружен автоматически.
Жаль. А кому-то помогли такие вещи. Или это просто обратно накатываются архивные файлы?
Новички
Консультанты
Старожилы
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Новички
Новички
Только сейчас обнаружил очень печальную новость. Оказалось, что сохраненные картинки фотографий, которые хранились в Лайтруме испорчены (я их хотел принтскрином восстанавливать) после чистки вышеприведенными процедурами. Теперь у меня совсем вселенская ПЕЧАЛЬ((( Всё никак не решался начать восстановление фотографий хоть в каком-то качестве. Сел наконец - фиг с маслом
Консультанты
Старожилы
Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354. Или на телефон +7 918-16-26-331.
Даже небольшая сумма может помочь написанию новых статей :)
Или поделитесь ссылкой на эту статью со своими друзьями.
Эта статья описывает вирус WanaCry, как от него защититься и как его удалить.
Последнее обновление этой статьи: 21 мая 2017 года.
12 мая 2017 произошел небольшой компьютерный армагедец. По всему миру, в России тоже, были заражены десятки тысяч компьютеров под управлением различных версий Windows компьютерным вирусом-шифровальщиком.
Самая худшая из разновидностей зловредных программ. Вирусы-шифровальщики зашифровывают пользовательские файлы - документы, фото и т.д. Конкретно этот вирус шифрует даже базы данных 1С. Конечно, после шифрования такие файлы становятся недоступны. То есть прахом идет все что нажито непосильным трудом.
Спросите у бухгалтера, каково это потерять базу данных 1С?
Дальше владельцы такого вируса-шифровальщика начинают вымогать деньги, за расшифровку файлов. Однако нет никакой гарантии, что после оплаты они действительно расшифруют файлы.
Но теперь собственно о вирусе, который устроил такой переполох в мире. Его называют по разному - Wana Decryptor, Wana Crypt0r, Wana Decrypt0r, Wanna Cry, WNCRY, trojan.encoder.11432 (доктор Вэб), Win32:WanaCry-A [Trj] (Avast), Trojan-Ransom.Win32.Wanna.m (Kaspersky), Ransom:Win32/WannaCrypt (Защитник Windows) и так далее.
- Красное окно приложения, в котором написано, что файлы зашифрованы и нужно заплатить 300 долларов через Биткойн.
- Все пользовательские файлы имеют расширение WNCRY и не открываются в программах.
Как вирус @WanaDecryptor@.exe заражает компьютеры?
Точно так же как это было лет 10-12 назад с группой вирусов, которые использовали, через сеть, уязвимость Windows XP (тогда это была уязвимость в механизме RPC). Сейчас это уязвимость в протоколе SMB версии 1.
Работает это следующим образом. На зараженном компьютере, запускается сканер портов и этот сканер ищет компьютеры на которых открыт TCP порт 445 (порт протокола SMB). Когда такой компьютер найден, вирус подключается к нему через этот порт посылает туда специальный пакет данных, который вызывает ошибку в работе Windows. В результате такой ошибки на этом компьютере можно выполнить зловредный код (загрузку и запуск вируса), причем этот код будет выполнен внутри легального процесса Windows и антивирусная программа не сможет его обнаружить и заблокировать. Собственно поэтому и случилась эпидемия таких масштабов - антивирусы не могли "увидеть" момент атаки. Дополнительная сложность для антивирусов была в том, что свои вредоносные действия WanaCry выполнял используя стандартные приложения Windows.
Дальше запущенный вирус шифрует файлы на этом компьютере. А также ищет новые компьютеры для заражения.
Какие компьютеры могут быть заражены вирусом WNCRY?
- На компьютере должна работать Windows (любая версия, начиная с XP).
- Компьютер должен быть подключен к локальной сети или к Интернет. Подключение к Интернет должно быть прямое (без роутера или шлюза). В том числе без шлюза провайдера. То есть с так называемым "белым" IP-адресом. Это такой IP-адрес который доступен в Интернет.
Такое прямое подключение дают многие провайдеры Интернет, которые предоставляют проводной доступ через оптоволокно (FTTB, FTTH), Ethernet или ADSL. Если сетевой кабель провайдера подключается к роутеру пользователя, а уже к роутеру подключен компьютер, тогда волноваться не нужно. Роутер не пропустит атаку на компьютер(ы). Конечно в том случае если на роутере кто-то не сделал проброс порта 445. Но по умолчанию роутеры не пропускают никакие входящие подключения.
Однако если сетевой кабель провайдера воткнут прямо в компьютер это уже может быть опасно. Тут уже все зависит от конфигурации сети провайдера. Если в ней разрешены входящие подключения тогда компьютер будет атакован из Интернет.
Точно так же есть возможность заражения если роутер в наличии, но он настроен в режиме Моста (Bridge). Таким образом часто настраивают ADSL роутеры.
Как защититься от WanaDecryptor WNCRY?
Прмечание. Если ваша Windows уже заражена, вначале нужно удалить вирус. Об этом ниже в этой статье.
Самое простое и быстрое что можно сделать это редактирование реестра - нужно отключить использование протокола SMB версии 1.
В консоли (Командная строка) выполнить такую команду:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t reg_dword /d 0 /f
Или через regedit в реестре добавить параметр в ключи реестра:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - тип DWORD, имя SMB1, значение 0.
После этого перезагрузите Windows.
Кроме этого, если ваш компьютер не используется в локальной сети, можно в файерволл добавить правило, которое запрещает входящие подключения на TCP порт 445. Учтите, что для локальной сети это делать нельзя - при закрытии этого порта, к компьютеру нельзя будет подключиться через сеть!
Добавить блокировку можно через консоль (Командная строка):
netsh advfirewall firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"
netsh firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"
или через Панель Управления - Брандмауэр Windows.
Если на вашей Windows включено автоматическое обновление, тогда скорее всего это обновление уже установлено у вас. Оно было выпущено еще в марте этого года.
Проверить можно через консоль (Командная строка):
wmic qfe list | findstr 4012212
dism /online /get-packages | findstr KB4012212
4012212 это номер обновления для Windows 7. Для Windows XP, Vista, 8 и 10 номер другой, смотрите номера на странице ms17-010.aspx!
Или через Панель управления - Установка и удаление программ. В списке программ нужно включить опцию показа обновлений.
Дополнительная мера защиты. Если у вас есть выделенный раздел с данными, который не используется активно, этот раздел можно отмонтировать. Чтобы он не был виден в системе. Это можно сделать через Панель Управления - Администрирование - Управление дисками. И там, для нужного раздела удалить букву диска. Не сам раздел, а присвоенную ему букву!
Насколько известно об этом вирусе, он не обрабатывает отмонтированные разделы.
Там нужно вести IP-адрес вашего компьютера и сервис проверит, если у вас эта уязвимость.
Как удалить Wana Decrypt0r?
Если вы совсем не разбираетесь в компьютерах, тогда выключите компьютер и вызывайте специалиста.
Если разбираетесь, тогда вот здесь описан процесс удаления вируса Wana Decrypt0r при помощи программы AVZ:
Еще один вариант, удаление вручную. Загрузиться с флешки или DVD в другую ОС, например Linux или MS DaRT. Затем открыть системный раздел зараженной Windows, найти там файлы tasksche.exe, mssecsvc.exe, @WanaDecryptor@.exe и удалить их. Затем загрузиться в Windows и удалить из реестра запуск этих файлов.
- Файлы @WanaDecryptor@.exe могут быть разбросаны по всем локальным дискам и папкам где есть файлы.
- Файлы tasksche.exe, mssecsvc.exe будут в папке \Windows\ и в папке с произвольным именем в папке \ProgramData\ - из этой папки запускает процесс в виде Службы Windows (раздел реестра Services). Служба "mssecsvc".
- Записи в реестре будут в ключах Run и Services (mssecsvc).
Перед началом лечения нужно отключить компьютер от локальной сети (или Интернет). Или заблокировать порт 445. Для того, чтобы исключить повторное заражение!
После удаления вируса нужно установить обновление!
Восстановление зашифрованных файлов
Пока никто этого сделать не может (на 15 мая).
Вирус, после шифрования файла, удаляет оригинал. Так что можно попробовать восстановить удаленные файлы при помощи программ типа PhotoRec, Recuva, R-Studio и т.п.
Шансы на восстановление зависят от того, как быстро был выключен компьютер, сколько было свободного места на диске на момент заражения и шифрования файлов. А также от количества файлов.
Не забывайте, что восстановление (запись восстановленных файлов) нужно делать на другой носитель! А не на тот же, где находились удаленные файлы. Это важно для повышения шансов на восстановление.
Но прежде всего я советую скопировать все зашифрованные файлы на другой носитель (диск, раздел). Возможно, через какое-то время появится расшифровщик.
Клоны, подражатели и попутчики
Уже есть несколько клонов вируса @WanaDecryptor@. Такие как например DarkoderCrypt0r.
Кроме того, стал известен еще как минимум один вирус, который работает точно так же, но выполняет другую конечную задачу - Adylkuzz. Этот зловред появился даже раньше, но оказался незамечен, потому, что он не выполняет на зараженном компьютере заметных для пользователя действий.
Вирус Adylkuzz это скрытная вредоносная программа, так называемый "бэкдор". Такие программы используются для управления зараженным компьютером. На сегодняшний день неизвестно количество пораженных этим вирусом компьютеров. По той причине, что Adylkuzz, в отличии от Wana Decrypt0r, незаметен для пользователя компьютера. Он включает пораженный компьютер в ботовую сеть криптовалюты Monero.
Проверка на Adylkuzz:
- На зараженной Windows должен быть файлы mciexev.exe и winsec.exe в папке \Windows\security.
- Exe-файл с произвольным именем в папке C:\Windows\TEMP
- Файл \Program Files\Hardware Driver Management\windriver.exe и разрешающее правило брандмауэр Windows для этого файла.
- Файл \Program Files\Google\Chrome\Application\chrome.txt и разрешающее правило брандмауэр Windows для этого файла.
- Запрещающее правило брандмауэр Windows для TCP порта 445.
- Замедление работы, связанное с высокой нагрузкой на процессор.
- "Отключение" локальной сети - компьютер недоступен по локальной сети. Из-за блокировки TCP порта 445.
Похожие статьи
Эта история хороший повод напомнить о том, насколько важно делать запасные копии данных.
Читайте также:
