1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы

Тема в разделе "Вирусы-шифровальщики", создана пользователем akok, 13 май 2017.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.084
    Симпатии:
    14.376
    Баллы:
    2.193
    Если Вам необходимо помощь в удалении WanaDecryptor, то вам необходимо обратиться в этот раздел на форуме и выполнить простые правила сбора информации.



    12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.

    Как Wana Decryptor заражает компьютеры пользователей?
    Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.

    Microsoft Security Bulletin MS17-010 - Critical

    Данная уязвимость закрывается патчем MS17-010 ( Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)

    Скачать исправление безопасности.

    Как работает Wana Decryptor.

    Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for '@WanaDecryptor@.exe'

    При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО
    upload_2017-5-13_12-6-46.

    В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

    Далее WanaCrypt0r скачивает TOR браузер (https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip) который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам.
    Код (DOS):
    icacls . /grant Everyone:F /T /C /Q
    Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
    А так же пытается завершить следующие процессы:
    Код (DOS):
    taskkill.exe /f /im mysqld.exe
    taskkill.exe /f /im sqlwriter.exe
    taskkill.exe /f /im sqlserver.exe
    taskkill.exe /f /im MSExchange*
    taskkill.exe /f /im Microsoft.Exchange.*
    Это позволит зашифровать базы данных.

    Вымогатель шифрует файлы со следующими расширениями
    Код (Text):
    .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
    Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного
    upload_2017-5-13_12-20-34.

    После шифрования файлов каталоге добавляются два файла:
    • @Please_Read_Me@.txt - сообщение вымогателя
    • @WanaDecryptor@.exe - дешифровщик
    Далее производится попытка очистить теневые копии и другие возможности восстановить файлы встроенными средствами Windows (восстановление системы, резервные копии и т.д.)

    Код (DOS):
    C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

    !!При попытке выполнить команды очистки сработает запрос UAC и если ответить НЕТ, то команда выполнена не будет, что дает высокие шансы восстановить информацию.
    Если у вас отключен UAC (например, если у вас серверная OS), то примите мои соболезнования.
    [​IMG]

    Далее отобразится окно вымогателя с перечисленными требованиями

    upload_2017-5-13_12-35-16.


    Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.

    [​IMG]

    Как расшифровать файлы после WanaCrypt0r?
    Если в запросе UAC вы ответили нет, то поможет следующая статья. Так же поможет программа ShadowExplorer.
    На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.

    Как предотвратить заражение шифровальщиком-вымогателем?
    1. Абсолютной защиты не существует.
    2. Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
    3. Используйте антивирус или будьте готовы к ликвидации последствий.
    4. Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
    5. Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.
    Программа которая поможет избежать активации шифровальщика - FixRun (FixSecurity) - защита от шифровальщиков



    Первоисточник
    Wana Decryptor / WanaCrypt0r Technical Nose Dive

    v 1.1 15.05.2017
     
    Последнее редактирование: 15 май 2017
    ScriptMakeR, Sandor, E100 и 3 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.084
    Симпатии:
    14.376
    Баллы:
    2.193
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.084
    Симпатии:
    14.376
    Баллы:
    2.193
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    цитата отсюда.
     
    akok нравится это.

Поделиться этой страницей

Поисковый запрос:

  1. wana decryptor

    ,
  2. WanaDecryptor

    ,
  3. wana decryptor 2.0

    ,
  4. как раскодировать файлы wncry,
  5. WannaCry дешифровка,
  6. расшифровать файлы wncry,
  7. wana decryptor как удалить,
  8. как восстановить данные после wanna cry,
  9. wana decriptor как разшифровать файлы,
  10. расшифровка wncry файлов