Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы

akok

Команда форума
Администратор
Сообщения
16,393
Реакции
13,017
Баллы
2,203
[INFORMATION]Если Вам необходимо помощь в удалении WanaDecryptor, то вам необходимо обратиться в этот раздел на форуме и выполнить простые правила сбора информации.[/INFORMATION]


12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.

Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.

Microsoft Security Bulletin MS17-010 - Critical

Данная уязвимость закрывается патчем MS17-010 ( Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)

Скачать исправление безопасности.

Как работает Wana Decryptor.

Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for '@WanaDecryptor@.exe'

При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО
upload_2017-5-13_12-6-46.png

В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese,
Далее WanaCrypt0r скачивает TOR браузер (Download Tor) который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам.
CMD/BATCH:
icacls . /grant Everyone:F /T /C /Q
Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
А так же пытается завершить следующие процессы:
CMD/BATCH:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*
Это позволит зашифровать базы данных.

Вымогатель шифрует файлы со следующими расширениями
Код:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного
upload_2017-5-13_12-20-34.png

После шифрования файлов каталоге добавляются два файла:
  • @Please_Read_Me@.txt - сообщение вымогателя
  • @WanaDecryptor@.exe - дешифровщик
Далее производится попытка очистить теневые копии и другие возможности восстановить файлы встроенными средствами Windows (восстановление системы, резервные копии и т.д.)

CMD/BATCH:
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

!!При попытке выполнить команды очистки сработает запрос UAC и если ответить НЕТ, то команда выполнена не будет, что дает высокие шансы восстановить информацию.
Если у вас отключен UAC (например, если у вас серверная OS), то примите мои соболезнования.


Далее отобразится окно вымогателя с перечисленными требованиями

upload_2017-5-13_12-35-16.jpeg


Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.



Как расшифровать файлы после WanaCrypt0r?
Если в запросе UAC вы ответили нет, то поможет следующая статья. Так же поможет программа ShadowExplorer.
На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.

Как предотвратить заражение шифровальщиком-вымогателем?
  1. Абсолютной защиты не существует.
  2. Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
  3. Используйте антивирус или будьте готовы к ликвидации последствий.
  4. Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
  5. Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.
Программа которая поможет избежать активации шифровальщика - FixRun (FixSecurity) - защита от шифровальщиков



Первоисточник
Wana Decryptor / WanaCrypt0r Technical Nose Dive

v 1.1 15.05.2017
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,914
Баллы
998
если у кого остались файлы формата .WNCYR (не путать с .wnCry) (обычно у тех кто успел вырубить криптор в процессе его работы), данные там остались незашифрованные. У меня так несколько больших файлов осталось. Начинаются они с большого заголовка, повидимому с ключем, а затем идет незашифрованный файл.
цитата отсюда.
 
Сверху Снизу