- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Если Вам необходимо помощь в удалении WanaDecryptor, то вам необходимо обратиться в этот раздел на форуме и выполнить простые правила сбора информации.
12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.
Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.
Microsoft Security Bulletin MS17-010 - Critical
Данная уязвимость закрывается патчем MS17-010 ( Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)
Скачать исправление безопасности.
Как работает Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for '@WanaDecryptor@.exe'
При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО
В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:
Далее WanaCrypt0r скачивает TOR браузер (Download Tor) который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам.
Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.
А так же пытается завершить следующие процессы:
Это позволит зашифровать базы данных.
Вымогатель шифрует файлы со следующими расширениями
Зашифрованные файлы имеют дополнительное расширение WNCRY после стандартного
После шифрования файлов каталоге добавляются два файла:
!!При попытке выполнить команды очистки сработает запрос UAC и если ответить НЕТ, то команда выполнена не будет, что дает высокие шансы восстановить информацию. Если у вас отключен UAC (например, если у вас серверная OS), то примите мои соболезнования.
Далее отобразится окно вымогателя с перечисленными требованиями
Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.
Как расшифровать файлы после WanaCrypt0r?
Если в запросе UAC вы ответили нет, то поможет следующая статья. Так же поможет программа ShadowExplorer.
На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.
Как предотвратить заражение шифровальщиком-вымогателем?
Первоисточник
Wana Decryptor / WanaCrypt0r Technical Nose Dive
v 1.1 15.05.2017
12 мая началась эпидемия вредоносного ПО Wana Decryptor который шифрует данные на компьютере пользователя.
Как Wana Decryptor заражает компьютеры пользователей?
Wana Decrypt0r использует уязвимость в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версиях Windows, от Windows 7 до Windows 10.
Microsoft Security Bulletin MS17-010 - Critical
Данная уязвимость закрывается патчем MS17-010 ( Обновление безопасности для Windows SMB Server) который был еще выпущен 14 марта 2017 (если у вас отключено автоматическое обновление, то установите патч вручную)
Скачать исправление безопасности.
Как работает Wana Decryptor.
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for '@WanaDecryptor@.exe'
При первом запуске вредонос извлекает файл в ту же папку, что и установщик. Файл представляет собой запароленный архив 7zip файлы из которого используются в работе вредоносного ПО
В сообщении об выкупе используется тот же язык, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:
Далее WanaCrypt0r скачивает TOR браузер (Download Tor) который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам.
CMD/BATCH:
icacls . /grant Everyone:F /T /C /QА так же пытается завершить следующие процессы:
CMD/BATCH:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*Вымогатель шифрует файлы со следующими расширениями
Код:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .docЗашифрованные файлы имеют дополнительное расширение WNCRY после стандартного
После шифрования файлов каталоге добавляются два файла:
- @Please_Read_Me@.txt - сообщение вымогателя
- @WanaDecryptor@.exe - дешифровщик
CMD/BATCH:
C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet!!При попытке выполнить команды очистки сработает запрос UAC и если ответить НЕТ, то команда выполнена не будет, что дает высокие шансы восстановить информацию. Если у вас отключен UAC (например, если у вас серверная OS), то примите мои соболезнования.
Далее отобразится окно вымогателя с перечисленными требованиями
Когда пользователь нажал на кнопку проверить платеж, то вымогатель подключится серверам TOR C2, чтобы проверить, был ли произведен платеж. Если платеж был произведен, то файлы будут расшифрованы в автоматическом режиме, если платеж не был произведен, вы увидите ответ, аналогичный приведенному ниже.
Как расшифровать файлы после WanaCrypt0r?
Если в запросе UAC вы ответили нет, то поможет следующая статья. Так же поможет программа ShadowExplorer.
На данный момент нет возможности расшифровать файлы без помощи злоумышленников если произведена очистка теневых копий.
Как предотвратить заражение шифровальщиком-вымогателем?
- Абсолютной защиты не существует.
- Не выключайте автоматическое обновление Windows, это позволит оперативно (более или менее) закрывать уязвимости OS.
- Используйте антивирус или будьте готовы к ликвидации последствий.
- Не доверяйте никому в сети, не открывайте непроверенные файлы которые вы получили без антивирусной проверки.
- Используйте резервное копирование, и чем важнее информация тем больше внимания уделяйте вопросу сохранности копий.
Первоисточник
Wana Decryptor / WanaCrypt0r Technical Nose Dive
v 1.1 15.05.2017
Последнее редактирование:
