Wncry расшифровать файлы: Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы | SafeZone

Содержание

Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы….

В связи с тем, что «paycrypt», прежде чем запустить новый вариант бат-энкодера ([email protected]_com), предоставила в распоряжение вирус_аналитиков несколько мастер-ключей:

:user ID packet: «P-crypt (P-crypt) «
:signature packet: algo 1, keyid 278605395C63D713
5C63D713/591A1333
(sig created 2014-03-01)

:user ID packet: «StyxKey (StyxKey) «
:signature packet: algo 1, keyid BAC121F1F3E75FD0
F3E75FD0/01270FE6
(sig created 2014-05-26)

:user ID packet: «HckTeam (HckTeam) «
:signature packet: algo 1, keyid 528FE439E578490A
E578490A/F107EA9F
(sig created 2014-06-01)

имеем возможность восстановить некоторые ваши файлы, если они были зашифрованы в определенный период времени.

Счастливыми в данном случае окажутся, к сожалению, лишь те, кому выпадет возможность восстановить свой ключ, и использовать его для расшифровки своих данных.

после извлечения секретного ключа из файла KEY.PRIVATE есть возможность восстановить зашифрованные документы (первая половина-июнь 2014 года) с расширением: [email protected]_com/[email protected]_com/[email protected]_com/[email protected]_com
———-

добавлю, что с помощью полученных приватных ключей возможно восстановить из KEY.PRIVATE сессионные секретные ключи secring.gpg пользователей, которые могут быть использованы для расшифровки файлов.

(извлекаем из KEY.PRIVATE и импортируем сессионный ключ)
1.
gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
«HckTeam (HckTeam) «

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\3\KEY.PRIVATE

Time: 14.06.2016 20:01:46 (14.06.2016 13:01:46 UTC)

gpg: key 63E66460: already in secret keyring
gpg: Total number processed: 1
gpg: secret keys read: 1
gpg: secret keys unchanged: 1

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\3\secring. gpg
Time: 14.06.2016 20:02:35 (14.06.2016 13:02:35 UTC)
———-
2.
gpg: encrypted with 1024-bit RSA key, ID F107EA9F, created 01.06.2014
«HckTeam (HckTeam) «

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\4\KEY.PRIVATE
Time: 14.06.2016 20:07:02 (14.06.2016 13:07:02 UTC)

gpg: key CDB7701B: secret key imported
gpg: key CDB7701B: public key «unstyx (unstyx) » imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1

— Public keyring updated. —
— Secret keyring updated. —

File: E:\deshifr\files_encode\BAT.Encoder\[email protected]\4\secring.gpg
Time: 14.06.2016 20:08:38 (14.06.2016 13:08:38 UTC)
———
и т.д.
итого:
ключи secring.gpg с ID:
63E66460: [email protected] DB0E4003: [email protected] CDB7701B: [email protected] + 369AE471: [email protected] 23AE1FA6: [email protected] F4CF450E: [email protected]_com


ждут своих владельцев.

+
получены secring.gpg с id

0x6E697C70/0xDF907172 uncrypt , 0xE71BDC55/0x63D1F277 unlock
и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: [email protected]_com/[email protected]_com.
(спасибо, thyrex, BloodDolly!)

В случае несложных парольных фраз (passphrase) для подбора пароля можно использовать утилиту для распределенного вычисления от Elcomsoft:

ElcomSoft Distributed Password Recovery

Elcomsoft Distributed Password Recovery – высокопроизводительное решение для восстановления паролей к различным типам файлов (список поддерживаемых форматов). Программа построена по принципу «клиент-сервер» и позволяет задействовать для перебора паролей все имеющиеся компьютеры.
————-

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Как обезопаситься от вируса WNCRY – Газета.uz

С 12 мая по всему миру наблюдается распространение вируса-вымогателя (ransomware). Жертвами программы-шифровальщика в основном стали сервера крупных организаций, но от него не застрахованы и обычные пользователи. Центр обеспечения информационной безопасности при Мининфокоме Узбекистана опубликовал рекомендации по защите от вируса.

Вирус представляет собой новую версию WannaCry (WNCRY) и называется «Wana Decrypt0r 2.0». Вредоносное программное обеспечение может прийти по электронной почте (основной вариант) или пользователь может случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Чаще всего вредоносным вложением являются файлы с расширениями js и exe, а также документы с вредоносными макросами (например, файлы Microsoft Word).

Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет ко всем из них расширение WNCRY. Таким образом, данные, находящиеся на конкретном компьютере, перестают быть доступными без ключа расшифровки. Доступ блокируется к системным файлам, документам, изображениям и музыке.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус постфактум блокирует приложение, файлы уже будут зашифрованы, и хотя программа будет недоступна, информация о блокировке будет размещена на экране рабочего стола — вместо обычных пользовательских обоев.

Жертве программы предлагается бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Злоумышленники предложат жертве приобрести «биткоины» и отправить указанную сумму на кошелек. Однако никто не гарантирует, что после уплаты выкупа устройство будет восстановлено.

Угроза заражения WNCRY не затронет пользователей операционных систем macOS. Если у пользователя версии Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016, рекомендуется принять меры.

В марте Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17−010, который закроет уязвимость. После установки следует перезагрузить компьютер.

Как заверяют в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов, например, Kaspersky или Symantec, также стоит загрузить последнюю версию.

Рекомендации по удалению вируса

Если обезопасить компьютер заранее не удалось, следует выполнить следующие действия. Нужно включить безопасный режим с загрузкой сетевых драйверов. В семействе Windows это можно сделать при перезагрузке системы после нажатия клавиши F8.

Нежелательные приложения можно удалить самостоятельно через «Удаление программ». Однако, чтобы избежать риска ошибки и случайного ущерба системе, лучше воспользоваться антивирусными программами.

Последний шаг для обычного пользователя: восстановление зашифрованных файлов, которое следует выполнять только после удаления WNCRY. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также, например, утилиту Shadow Explorer (утилита вернет теневые копии файлов и исходное состояние зашифрованных файлов).

Однако, отмечают специалисты, эти способы также не гарантируют полного восстановления файлов.

WannaCry — расшифровка файлов » happy-hack

Вирус — вымогатель WannaCry атаковал 12 мая, в пятницу более 75000 компьютеров по всему миру. В основном пострадали крупные компании, организации, транспортные компании, медицинские и учебные учреждения, даже МВД РФ WannaCry не обошёл стороной. На данный момент пострадало уже более 300000 компьютеров более чем в 100 странах. WanaCrypt0r 2.0, или как его ещё называют «WannaCry«, распространяется путём почтовых вложений. Оказавшись в системе вирус сканирует диски и сетевые папки на наличие файлов с определёнными расширениями (более 160) и шифрует их добавляя расширение .WNCRY. Затем подключаются функции червя — само распространение, WannaCry сканирует доступные ip адреса на 445 порт и распространяется по локальной сети. Удаляется данный шифратор как и прочие шифраторы — винлоки, входом в систему через «безопасный режим», очисткой автозагрузки и реестра, физическим удалением файлов вируса, удалением лишних записей из файла C:\Windows\System32\drivers\etc\hosts. НО, в случае если вы увидели на своём мониторе характерное окошко WannaCry, требующее вас отправить 300$ на биткоин кошелёк, ни в коем случае не торопитесь выключать или перезагружать компьютер, есть шанс расшифровать файлы!

Wanakiwi — утилита в большинстве случаев поможет расшифровать

зашифрованные вирусом WannaCry файлы, но только в том случае если после заражения компьютер не отключался и процесс, генерировавший ключ всё ещё запущен. Учитывая тот факт, что этот метод основан на сканировании адресного пространства процесса, который сгенерировал эти ключи, это означает, что если этот процесс был убит, например, путем перезагрузки — исходная память процесса будет потеряна. Очень важно, чтобы пользователи НЕ перезагрузили свою систему перед тем, как прибегнуть к помощи Wanakiwi.

Скачать: Скачать файл: wanakiwi.zip [364,78 Kb] (cкачиваний: 841)

При запуске Wanakiwi автоматически ищет процессы, такие как:

— wnry.exe
— wcry.exe
— data_1.exe
— ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
— tasksche.exe

Но если в вашем случае название процесса отличается от стандартных то Wanakiwi можно запустить через консоль cmd с параметрами pid или process, чётко указав программе с каким процессом работать:

wanakiwi.exe [/pid:PID|/process:program.exe]

В процессе работы wanakiwi будет расшифровывать файлы создавая их как новые, не затрагивая шифрованные файлы с расширением . WNCRY.

После того как файлы будут расшифрованы рекомендуется важные файлы скопировать на внешний носитель или облачное хранилище, затем выполнить перезагрузку системы в «безопасном режиме» и удалить файлы вируса и следы его присутствия. После чего выполнить обновление операционной системы. Microsoft выпустила обновления для всех уязвимых систем, в том числе и для уже не поддерживаемой windows XP.

Пароль на все архивы: hh

Теги: WannaCry WanaCrypt0r Wanakiwi расшифровать

Категория: Пентест

ЧТО ЗА ЗВЕРЬ НОВЫЙ ВИРУС Petya.A И КАК С НИМ БОРОТЬСЯ? Эксперты по кибербезопасности высказали мнение Антивирус «Касперский» его не видит. «Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A. Symantec будто поймал (прим. — только последняя версия АВ) McAfee во всех известных случаях облажался. Eset не… — Convader — обмен электронных валют с космической скоростью

ЧТО ЗА ЗВЕРЬ НОВЫЙ ВИРУС Petya. A И КАК С НИМ БОРОТЬСЯ?

Эксперты по кибербезопасности высказали мнение — атакует системы новая модификация вируса-шифровальщика WannaCry, первая вспышка которого была месяц назад. Модифицированный вирус называется Petya.A.

Так, специалист по кибербезопасности Владимир Стыран рассказал в социальной сети о вирусе Petya, атаковавшем Украину.

«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry» — написал Стыран.

Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики, передает Xakep. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что вирус использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.

КОГО БОЛЬШЕ ВСЕГО АТАКУЕТ Petya.A?

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность.

К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого).

ЧТО ПРОИСХОДИТ С ЖЕРТВАМИ ПОСЛЕ ЗАРАЖЕНИЯ?

Запуск .exe файла приводит к падению системы в синий экран и последующей перезагрузке. После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya.

Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне . onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

Позже организаторы кибератаки Petya.A сообщили и другие свои требования, выводя их на экраны пользователей после заражения.

Хакеры требуют от владельца заражённого компьютера переслать $300 в биткоинах, и предоставить информацию о своих электронных кошельках. Инструкции написаны на английском языке. Объявление напоминает то, которое распространяли хакеры WannaCry.

КАК УДАЛИТЬ ПЕТЮ?

Инфорезист, со ссылкой на экспертов также отмечает, что вирус Petya очень похож на Wncry. Раньше боролись с Wncry так (возможно это поможет):

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

КАК РАСШИФРОВАТЬ ФАЙЛЫ ПОСЛЕ ПЕТИ?

После удаления данного вируса вам нужно будет восстановить зашифрованные файлы. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

АНТИВИРУСЫ МОГУТ ВЫЛЕЧИТЬ

Avast блокирует этот вирус,
Антивирус «Касперский» его не видит.
«Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya. A.
Symantec будто поймал (прим. — только последняя версия АВ)
McAfee во всех известных случаях облажался.
Eset не реагирует»

Простой анализ вируса-вымогателя wncry — Русские Блоги

Каталог статей

Образец информации

MD5:DB349B97C37D22F5EA1D1841E3C89EB4
SHA1:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
CRC32:9FBB1227
Размер файла: 3723264 байта
Имя файла: 11.exe

Окружающая среда и инструменты

Среда: win7 32-разрядная профессиональная версия
Инструменты: IDA pro, OD, 010Editor, LordPE

Цель анализа

Проанализировать логику зараженных файлов вымогателями

Импортировать анализ таблицы

Используйте LordPE для просмотра таблицы импорта
Функции импорта включают API, связанные с операциями с ресурсами, функции динамической загрузки GetProcAddress, API в библиотеке шифрования Microsoft и API, связанные с операциями служб.
предполагаю, что образец освободит файл, использует функцию библиотеки шифрования Microsoft для шифрования файла и создания служб, а также динамически загрузит DLL для получения API.

Анализ строк

Файл содержит большое количество строк API и содержит имя файла taskche.exe, содержит URL-адрес и предполагает, что существует поведение сетевого подключения.

Просмотр ресурсов

В ресурсе есть PE-файл. Предположение будет выпущено и выполнено.

Мониторинг поведения Tinder sword

Основное поведение при просмотре — освободить PE-файл taskche.exe и создать его резервную копию, а затем выполнить его, только эту операцию.

11.exe


Сначала попробуйте подключиться к URL-адресу и вернитесь напрямую, если соединение установлено, в противном случае выполните sub_408090.

Поведение оценивается по количеству параметров запуска. Если параметры есть, уязвимость будет использоваться для распространения по сети, то есть будет вызвана функция serviceCtrl.
Если параметры отсутствуют, будет вызван sub_407F20.

в основном выполняет две задачи: первая — создает службу запуска, а вторая — освобождает PE-файл и выполняет PE-файл.


Видно, что PE-файл ресурса выпущен здесь, его имя — taskche.exe, и файл выполняется с параметром «/ i».

Обобщите основное поведение 11.exe

  1. Попробуйте подключиться к URL-адресу и вернуть успешно. Предполагается, что после расшифровки пользователь не сможет снова заразиться.
  2. Если программа работает с параметрами, создается служба, которая распространяется через уязвимости.
  3. При запуске без параметров PE-файл taskche.exe будет выпущен и выполнен с параметрами.

taskche.exe

Выгрузите ресурсы, выпустившие 11.exe, а затем проанализируйте:
Общий процесс выглядит следующим образом:

Подробный процесс выглядит следующим образом:

  1. Определите, является ли параметр запуска «/ i»
  2. Найдите, есть ли папка programData / Intel под диском C, если она есть, создайте случайную папку на основе имени компьютера HASH в папке
  3. Скопируйте taskche.exe в случайную папку
  4. Создайте службу и снова запустите taskche. exe. Если параметр start равен нулю, последовательность будет выполняться вниз.
    Создать службу:
  5. Создайте ключ реестра
  6. Освободите операцию ресурса, вот сжатый пакет

    Видно, что ресурс содержит много файлов, которые будут выпущены в текущую папку.
  7. Напишите случайный биткойн-аккаунт в c.wnry
  8. Выполните две команды cmd, чтобы скрыть текущую папку и установить разрешения для текущей папки на полный доступ для всех.
  9. Импортируйте связанные API для последующих операций с файлами, а также операций шифрования и дешифрования.
  10. Конструктор создает структуру данных и вызывает функцию sub_401437 для импорта секретного ключа.
    Импортируйте секретный ключ из BLOB в 40EBF8 через CryptImportKey
  11. Расшифруйте файл t.wnry, метод дешифрования — RSA + AES для расшифровки файла

  12. Загрузите dll вручную, посмотрите таблицу экспорта, чтобы получить функцию taskStart


    Поскольку расшифрованный файл t.wnry не попал, файл был получен через память дампа LordPE для анализа.

Обобщите основное поведение taskche.exe

  1. Сделайте резервную копию файла taskche.exe во вновь созданном случайном каталоге.
  2. Выпустить большое количество файлов в сжатом пакете на ресурсе
  3. Случайным образом выберите биткойн-аккаунт и запишите его в файл c.wnry
  4. Используйте RSA + AES, чтобы расшифровать t.wnry как вредоносную dll, вручную сопоставить PE-файл, найти функцию taskStart в таблице экспорта, вызвать ее вручную и установить для параметра значение (0,0).

dump.dll

Общий процесс:

Подробный анализ процесса:

  1. Начало — это некоторые операции инициализации, в том числе обнаружение нескольких открытых мьютексов, чтение c.wnry для получения учетной записи биткойн, проверка текущих прав пользователей, создание паролей и имен файлов ресурсов res, pkey, ekey. И проверьте файл паролей, чтобы предотвратить повторное заражение.
    Имеются следующие разрешения:
  2. Постройте структуру данных, вызовите importKeyFromMem, чтобы попытаться импортировать секретный ключ через файл секретного ключа, и создайте файл секретного ключа, если он не существует.
  3. Попробуйте прочитать файл ресурсов, создайте его, если он не существует

    Sub_10004420:
  4. Открыть 5 тем
    1. Поток 1: используется для обновления отметки времени в файле res.
    2. Поток 2: используется для обнаружения файла dkey, предположительно используемого для дешифрования пользователя после оплаты биткойнов.
    3. Поток 3: используется для обнаружения изменений диска и предотвращения заражения при обновлении диска.

      Sub_10005680:
    4. Поток 4: используется для запуска taskdl.exe
    5. Поток 5: используется для обновления метки времени c.wnry, запуска taskse.exe и @ WanaDecryptor @ .exe и установки автоматического запуска реестра.

      setAutoRUN:
  5. Sub_100057c0 используется для создания @ WanaDecryptor @ .exe, readMe.txt, завершения связанных процессов, обхода диска для шифрования файлов и заполнения диска. В основном для операции инициализации потока.

    Как указано выше, создайте клиента программы-вымогателя, просмотрите зашифрованные файлы и завершите процесс.

    Перечислить все диски и выполнить операции шифрования обхода.
    Для функции шифрования ключа sub_10005540:

    Сначала проверьте, есть ли на диске свободное место, затем проверьте тип диска и затем вызовите encryptFile для шифрования обхода.
    encryptFile:

    Основная цель fileHandle — просмотреть файл, поместить его в связанный список, если он соответствует условиям, а затем выполнить единое шифрование:

    Для обхода папок условие фильтрации folderFilter выглядит следующим образом:

    Сохраните соответствующие папки в связанном списке.
    Если файл пройден, та же операция, фильтрация по типу файла и добавление в связанный список.

    Правила getFileType следующие:
Тип 0: файл без суффикса
 Тип 1: exe и dll
Type 2:
".doc" ".docx" ".xls" ".xlsx" ".ppt" ".pptx" ".pst" ".ost" 
".msg" ".eml" ".vsd" ".vsdx" ".txt" ".csv" ".rtf" ".123" 
".wks" ".wk1" ".pdf" ".dwg" ".onetoc2" ".snt" ".jpeg" ".jpg"
Type 3:
 ".docb"  ".docm"  ".dot"  ".dotm"  ".dotx"  ".xlsm"  ".xlsb"  ".xlw"  ".xlt"  ".xlm"  ".xlc" 
 ".xltx"  ".xltm"  ".pptm"  ".pot"  ".pps"  ".ppsm"  ".ppsx"  ".ppam"  ".potx"  ".potm"  ".edb" 
 ".hwp"  ".602"  ".sxi"  ".sti"  ".sldx"  ".sldm"  ".sldm"  ".vdi"  ".vmdk"  ".vmx"  ".gpg"  ".aes" 
 ".ARC"  ".PAQ"  ".bz2"  ".tbk"  ".bak"  ".tar"  ".tgz"  ".gz"  ".7z"  ".rar"  ".zip"  ".backup" 
 ".iso"  ".vcd"  ".bmp"  ".png"  ".gif"  ".raw"  ".cgm"  ".tif"  ".tiff"  ".nef"  ".psd"  ".ai" 
 ".svg"  ".djvu"  ".m4u"  ".m3u"  ".mid"  ".wma"  ".flv"  ".3g2"  ".mkv"  ".3gp"  ".mp4"  ".mov" 
 ".avi"  ".asf"  ".mpeg"  ".vob"  ".mpg"  ".wmv"  ".fla"  ".swf"  ".wav"  ".mp3"  ".sh"  ".class" 
 ".jar"  ".java"  ".rb"  ".asp"  ".php"  ".jsp"  ".brd"  ".sch"  ".dch"  ".dip"  ".pl"  ".vb"  ".vbs" 
 ".ps1"  ".bat"  ".cmd"  ".js"  ".asm"  ".h"  ".pas"  ".cpp"  ".c"  ".cs"  ".suo"  ".sln"  ".ldf" 
 ".mdf"  ".ibd"  ".myi"  ".myd"  ".frm"  ".odb"  ".dbf"  ".db"  ".mdb"  ".accdb"  ".sql"  ".sqlitedb" 
 ".sqlite3"  ".asc"  ".lay6"  ".lay"  ".mml"  ".sxm"  ".otg"  ".odg"  ".uop"  ".std"  ".sxd"  ".otp" 
 ".odp"  ".wb2"  ".slk"  ".dif"  ".stc"  ".sxc"  ".ots"  ".ods"  ".3dm"  ".max"  ".3ds"  ".uot"  ".stw" 
 ".sxw"  ".ott"  ".odt"  ".pem"  ".p12"  ".csr"  ".crt"  ".key"  ".pfx"  ".der"
Type 4:.WNCRYT
Type 5:.WNCYR
Type 6:.WNCRY

Затем зашифруйте файлы в связанном списке

Для sub_10002940:

Для sub_10002200 он в основном используется для создания различных суффиксов файла перед шифрованием в виде зашифрованного файла:

Для cryptFile запустите настоящую операцию шифрования файла:
Существует два основных метода шифрования для cryptFile: метод 3 и метод 4.
Метод 4:
Под файлом здесь понимается файл размером более 1 КБ и менее 200 МБ. Этот тип файла шифруется только один раз.
Процесс выглядит следующим образом:
1. Откройте файл.
2. Получить размер файла.
3. Получите время файла.
4. Определите, был ли файл зашифрован (здесь в основном для метода шифрования 3 он будет зашифрован дважды)

5. Создайте новый файл .wncryt.

6. Выберите ключ шифрования.

7. Запишите зашифрованный заголовок файла.

8. Циклически прочитайте и зашифруйте файл.

9. Измените имя файла.

На данный момент процесс шифрования файлов размером менее 200 МБ и более 1 КБ завершен.
Для файлов размером более 200 МБ он будет зашифрован дважды:
В первый раз на шаге 5 файл будет предварительно обработан, 0x10000 байтов данных в заголовке файла будут добавлены в конец файла, а затем будут добавлены 0x10000 слов в заголовке. Раздел очищается, а затем записывается флаг шифрования

не будет зашифровать файл и вернуть его напрямую. Измените тип файла на 5, а суффикс файла на .WNCYR

Добавьте измененный файл в связанный список для второй обработки и выполните обработку шифрования в соответствии с типом шифрования 4.
До сих пор детальный процесс шифрования файлов был проанализирован. Поскольку код очень большой и сложный, давайте кратко резюмируем процесс шифрования:

  1. Классифицируйте разные файлы при перемещении
  2. Используйте sub_10002E70, чтобы снова классифицировать файлы и выбрать другие методы шифрования. В основном по размеру файла файл делится на две категории в соответствии с границей 200 МБ. Операция шифрования выполняется дважды.
  3. Файлы размером более 200 МБ будут предварительно обработаны один раз, а байт заголовка 0x10000 будет зарезервирован для записи связанных меток, а затем зашифрован в соответствии с методом 4. Файлы размером менее 200 МБ напрямую шифруются с использованием метода 4.
  4. Метод шифрования заключается в использовании cryptGenRandom для генерации истинного случайного числа, использовании случайного числа для расширенного шифрования AES и использовании зашифрованного секретного ключа для AES-шифрования содержимого файла. Затем сгенерированное случайное число будет зашифровано открытым ключом RSA и записано в файл. Таким образом, жертва практически не может самостоятельно расшифровать, потому что закрытый ключ находится в руках других людей, и мы не можем угадать 16-байтовое случайное число.
    Затем будут установлены обои, будет запущен клиент вымогателя, ненужные данные пройдут через диск и будут удалены при перезапуске.
    Операции по заполнению диска следующие:

Обобщите основное поведение dump.dll

  1. Создавайте файлы секретных ключей и файлы ресурсов для последующего шифрования
  2. Проверьте, существует ли файл секретного ключа для дешифрования dkey, и остановите шифрование, если он существует
  3. Проверьте статус диска, если диск обновлен, новый диск будет зашифрован
  4. Запустите клиент-вымогатель, установите автоматический запуск реестра
  5. Запустите taskdl.exe для завершения работы
  6. Просматривать файлы для шифрования файлов указанных типов
  7. Создавать временные файлы на всех дисках, циклически записывать данные и заполнять диск
  1. Метод шифрования файлов заключается в использовании для шифрования истинных случайных чисел, а случайные числа, зашифрованные RSA, сохраняются в файле для дешифрования.
  2. Ключ шифрования, используемый в некоторых файлах, может не сохранять закрытый ключ, то есть его нельзя расшифровать.
  3. Передача вируса использует «вечные синие лазейки» для распространения через локальную сеть и внешние сети через порты 139 и 445.
  4. Вирус записывает на диск большой объем нежелательной информации, которая будет удалена после перезагрузки.
  5. Вирус использует реестр и службы для самостоятельного запуска.

Опасный вирус WannaCrypt: как обезопаситься и вылечить компьютер

Каждая жертва программы-вымогателя WannaCrypt (WannaCry, WCry, WNCRY) видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа

С 12 мая тысячи компьютеров по всему миру атакует опасный вирус WannaCrypt (также известный как WannaCry, WCry, WNCRY). Это вредоносная программа, с помощью которой хакеры вымогают деньги в обмен на разблокировку данных.

Что делает вирус

Читай также: Обнаружен новый вирус, который заражает Android-устройства через СМС

Троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY. Так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.

Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелек. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.

Как обезопасить себя

Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость. Из-за распространения вируса-вымогателя Microsoft обновила даже Windows XP, которая не поддерживается с 2014 года. Обновление можно скачать здесь.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

Читай также: Страны G7 объединятся в борьбе с киберпреступностью — Reuters

В антивирусе нужно включить Мониторинг системы. Затем проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузиться и убедиться, что патч MS17-010 установлен на вашем компьютере.

Если ваш компьютер заражен

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Читай также: За масштабной вирусной атакой WannaCry может стоять Россия

Последний шаг— восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Впрочем, эти способы не гарантируют полного восстановления файлов, если вы заранее не сделали резервные копии данных.

Источник: tjournal



Вирус WannaCry расшифровка файлов

Вирус WannaCry расшифровка файлов — Вирус вымогатель WannaCry атаковал 12 мая, в пятницу более 75000 компьютеров по всему миру. В основном пострадали крупные компании, организации, транспортные компании, медицинские и учебные учреждения, даже МВД РФ WannaCry не обошёл стороной.

На данный момент пострадало уже более 300000 компьютеров более чем в 100 странах. WanaCrypt0r 2.0, или как его ещё называют «WannaCry», распространяется путём почтовых вложений. Оказавшись в системе вирус сканирует диски и сетевые папки на наличие файлов с определёнными расширениями (более 160) и шифрует их добавляя расширение .WNCRY.

Затем подключаются функции червя — само распространение, WannaCry сканирует доступные ip адреса на 445 порт и распространяется по локальной сети. Удаляется данный шифратор как и прочие шифраторы — винлоки, входом в систему через «безопасный режим», очисткой автозагрузки и реестра, физическим удалением файлов вируса, удалением лишних записей из файла C:WindowsSystem32driversetchosts.

НО, в случае если вы увидели на своём мониторе характерное окошко WannaCry, требующее вас отправить 300$ на биткоин кошелёк, ни в коем случае не торопитесь выключать или перезагружать компьютер, есть шанс расшифровать файлы!

Wanakiwi утилита в большинстве случаев поможет расшифровать зашифрованные вирусом WannaCry файлы, но только в том случае если после заражения компьютер не отключался и процесс, генерировавший ключ всё ещё запущен.

Учитывая тот факт, что этот метод основан на сканировании адресного пространства процесса, который сгенерировал эти ключи, это означает, что если этот процесс был убит, например, путем перезагрузки — исходная память процесса будет потеряна. Очень важно, чтобы пользователи НЕ перезагрузили свою систему перед тем, как прибегнуть к помощи Wanakiwi.

При запуске Wanakiwi автоматически ищет процессы, такие как:

— wnry.exe
— wcry.exe
— data_1.exe
— ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
— tasksche.exe

Но если в вашем случае название процесса отличается от стандартных то Wanakiwi можно запустить через консоль cmd с параметрами pid или process, чётко указав программе с каким процессом работать:

wanakiwi.exe [/pid:PID|/process:program.exe]

В процессе работы wanakiwi будет расшифровывать файлы создавая их как новые, не затрагивая шифрованные файлы с расширением .WNCRY.

После того как файлы будут расшифрованы рекомендуется важные файлы скопировать на внешний носитель или облачное хранилище, затем выполнить перезагрузку системы в «безопасном режиме» и удалить файлы вируса и следы его присутствия.

После чего выполнить обновление операционной системы. Microsoft выпустила обновления для всех уязвимых систем, в том числе и для уже не поддерживаемой windows XP.

скачать программу Wanakiwi

Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!

Лучший метод восстановления зашифрованных файлов WNCRY в Windows 10/8/8.1/7/XP

В этом цифровом мире кибербезопасность всегда является горячей темой. И WannaCry, возможно, самый ненавистный вирус за последние годы. По оценкам, он затронул более 200 000 компьютеров в 150 странах, а общий ущерб составил миллиарды долларов. И эксперты считали, что пострадали реальные устройства и потери больше, чем в отчете. Киберпреступники попросили всех заплатить не менее 300 долларов за расшифровку файлов. Есть ли способ восстановить зашифрованные файлы WNCRY без уплаты выкупа? На самом деле, есть шанс вернуть свои файлы и сохранить 300 долларов в кармане.Все, что вам нужно, это следовать нашему руководству ниже.

Часть 1. Что такое файл WNCRY

Прежде всего, давайте сначала поговорим о том, что такое файл WNCRY. WannaCry — это разновидность червя-вымогателя, нацеленного на компьютеры под управлением операционных систем Windows. Как только компьютер будет поражен этой программой-вымогателем, исходные файлы будут удалены, а копии будут зашифрованы в файл WNCRY. Например, файл xxx.doc становится xxx.doc.wncry.

Если жертвы вовремя не заплатят выкуп в криптовалюте Биткойн, все файлы исчезнут безвозвратно.Что еще хуже, программа-вымогатель также ведет себя как червь, потенциально затрагивая компьютеры и серверы в той же сети. Это станет катастрофой для организации.

Подробнее: Параметры восстановления системы.

Часть 2. Как восстановить зашифрованные файлы WannaCrypt

Способ шифрования файлов WannaCrypt немного особенный. Во-первых, он считывает исходные файлы с зараженного компьютера в оперативную память. Затем он начинает создавать зашифрованные файлы, заканчивающиеся WNCRY. Наконец, исходные файлы удаляются с жестких дисков.Если вы понимаете способ шифрования WNCRY, у вас может быть метод восстановления зашифрованных файлов без уплаты выкупа: использование профессионального инструмента восстановления данных, такого как Apeaksoft Data Recovery. Его ключевые особенности включают в себя:

1. Простота в использовании. Этот инструмент для восстановления цифровых данных способен восстановить удаленные файлы с локальных жестких дисков одним щелчком мыши, так что даже новички смогут освоить его за несколько секунд.

2. Восстановление данных в различных ситуациях. Независимо от того, потеряны ли ваши файлы из-за вирусной атаки, ошибочной операции, зависания или сбоя системы, внезапных прерываний или форматирования жесткого диска, их можно легко восстановить.

3. Поддержка различных типов и форматов данных. Он работает со всеми изображениями, видео, аудио, документами, электронной почтой и другими форматами файлов, такими как JPG, ICO, PNG, BMP, GIF, PSD, TIFF, RAW, MP4, MP3, WAV, AVI, DOC, ZIP и т. д.

4. Восстановление без потерь. С лучшим приложением для восстановления файлов WNCRY вы можете восстановить потерянные файлы в исходном качестве и формате.

5. Выборочное восстановление. После сканирования вы можете просмотреть все потерянные файлы, упорядоченные по типам и форматам, и решить восстановить их все или определенные файлы.

6. Быстрее и легче. Этот инструмент восстановления данных легкий и может быстро и безопасно восстановить потерянные файлы.

7. Кроме того, восстановление данных доступно для 10/8.1/8/Vista/XP и различных файловых систем, таких как NTFS, FAT16, FAT32, exFAT, EXT и т. д.

Короче говоря, это лучший вариант когда вы обнаружили, что ваши файлы стали WNCRY, и вы просите заплатить выкуп. Он также позволяет восстанавливать данные с SSD, жесткого диска, флэш-накопителя, цифровой камеры и многого другого.

Как восстановить зашифрованные файлы WannaCrypt

Шаг 1 : Просканируйте весь жесткий диск для поиска удаленных файлов

Загрузите последнюю версию Data Recovery и следуйте инструкциям на экране, чтобы установить ее на свой компьютер.Открыв лучшее программное обеспечение для восстановления цифровых данных, вы получите две части домашнего интерфейса: тип данных и местоположение. Перейдите в область типа данных и установите флажки, какие типы данных вы хотите вернуть, например «Изображение», «Аудио», «Видео», «Документ», «Электронная почта» и «Другие». Затем перейдите в раздел местоположения и выберите жесткий диск, зашифрованный WannaCry, где файлы станут WNCRY. Нажмите кнопку «Сканировать», чтобы запустить процесс восстановления зашифрованных файлов WannaCrypt.

Шаг 2 : Предварительный просмотр файлов перед восстановлением WNCRY

По завершении стандартного сканирования вы попадете в окно результатов.Здесь вы можете просмотреть все восстанавливаемые файлы, упорядочив их по типам и форматам. Например, нажмите на параметр «Изображение» на левой боковой панели, и на правой панели отобразятся несколько папок, помеченных как форматы изображений.

Открывая каждую папку, вы можете просматривать миниатюры своих изображений. Функция «Фильтр» в верхней части окна позволяет быстро найти один файл по ключевому слову. Кроме того, если вы хотите восстановить больше файлов, зашифрованных WNCRY, нажмите кнопку «Глубокое сканирование» в правом верхнем углу окна.

Шаг 3 : Восстановление файлов WNCRY одним щелчком мыши

Выберите все файлы, которые вы хотите восстановить, установив соответствующий флажок или целые папки.Нажмите кнопку «Восстановить», выберите место сохранения во всплывающем диалоговом окне и нажмите «ОК», чтобы начать восстановление файлов WNCRY. Когда он будет завершен, вы сможете получить доступ к своим файлам в обычном режиме.

Вам также нравится читать: Mac Internet Recovery.

Советы по защите от программы-вымогателя WannaCry

Как уже упоминалось, WannaCry распространяется как червь и может поражать устройства в той же сети. Чтобы избежать заражения и превращения файлов в WNCRY, вот несколько советов:

1. Обновите операционную систему Windows прямо сейчас.Программы-вымогатели и вирусы полагаются на ошибки в Windows. Microsoft исправляет множество ошибок в каждом обновлении, поэтому вам лучше установить последнее обновление Windows.

2. Включите автоматическое обновление Windows. Многие люди отключают функцию автоматического обновления Microsoft для повышения производительности. Это может пропустить последнее обновление и увеличить риск заражения.

3. Установите антивирусное программное обеспечение или специальный блокировщик программ-вымогателей. Если он у вас есть на компьютере, не забудьте обновить его.

4. Не публикуйте свои личные данные в социальных сетях и не нажимайте странные ссылки в своих электронных письмах и социальных сетях.

5. Сделайте резервную копию всего жесткого диска. WNCRY шифрует файлы только в Windows, поэтому вы можете создавать резервные копии своих файлов на Mac OS, устройстве Android или в облачных сервисах.

Заключение

Основываясь на приведенном выше обмене информацией, вы можете понять, что такое WNCRY и как восстановить зашифрованные файлы WNCRY. Как следует из названия, WannaCry вызывает у жертв желание плакать. Чтобы понять, как работает WNCRY, мы поделились инструментом восстановления зашифрованных файлов WannaCrypt, Apeaksoft Data Recovery. Таким образом, вы можете вернуть свои файлы и одновременно сохранить выкуп.А еще мы рассказали вам, как уберечься от заражения. Мы желаем, чтобы наш путеводитель был вам полезен. Если у вас есть дополнительные вопросы, связанные с WNCRY, оставьте сообщение ниже.

Wncry Virus File Ransomware Removal (+ File Recovery) – Dowser

[баннерВерх]

Добро пожаловать в наше руководство по удалению Wncry Virus File Ransomware. Следующие инструкции помогут вам бесплатно удалить нежелательное программное обеспечение с вашего компьютера.

В целом наибольшее количество вредоносных заражений приходится на троянские вирусы.Тем не менее, самые опасные из них обычно вызываются вирусом-вымогателем. Обычно самые популярные версии программ-вымогателей шифруют некоторые ваши данные. Точнее, файлы, которые вы используете чаще всего, становятся жертвами этих вирусов. Ниже мы обсудим Wncry Virus, обычную версию программы-вымогателя. Более важная информация доступна в следующем тексте.

Некоторые подробности о программах-вымогателях:

К сожалению, во всей кибервселенной нет ничего более вредоносного и опасного, чем программы-вымогатели.Известно, что такие вирусы заражают ваш компьютер без посторонней помощи. Самое главное, заражение может происходить автоматически, как только вы столкнулись с возможным источником этой вредоносной программы. Далее в этой статье вы прочтете о наиболее распространенных источниках программ-вымогателей. Еще один важный аспект всех категорий программ-вымогателей, к какому бы подтипу ни принадлежала конкретная версия, заключается в том, что такая вредоносная программа имеет привычку блокировать что-то ценное на вашем компьютере. Обычно после этого хакеры, которые создают такие вирусы, как правило, требуют от вас выкуп за разблокировку того, что было заблокировано.Более того, почти все такие вирусы невероятно трудно удалить, и это может привести к большим проблемам, если вы попытаетесь избавиться от них без какой-либо профессиональной или адекватной помощи или помощи.

Версии:

Программа-вымогатель

состоит из нескольких подкатегорий вирусов:

  • Наиболее известные и вредоносные версии, вызывающие ШИФРОВАНИЕ ФАЙЛОВ:  Эти представители программ-вымогателей обычно используются для шифрования данных. Они сами вторгаются в ваш компьютер, получают доступ к вашим жестким дискам, ищут данные, к которым вы обращаетесь чаще всего, и кодируют все эти файлы ключом, который крайне сложно взломать.Точнее, это самый ужасный тип программ-вымогателей, так как ваши данные в реальной опасности и зачастую вы ничего не можете сделать, чтобы их спасти.
  • Менее популярные, но все же ужасающие программы-вымогатели, БЛОКИРУЮЩИЕ ЭКРАН:  Эта категория сама по себе делится на две подгруппы:
    Программы-вымогатели, которые блокируют экраны мобильных устройств (таких как смартфоны/планшеты) и делают их полностью недоступными . Эта подкатегория не влияет на какие-либо данные, однако вы не сможете получить к ним доступ, потому что экран вашего устройства будет заблокирован полноразмерным всплывающим окном с предупреждением о том, что некоторые хакеры требуют от вас выкуп. для того, чтобы разблокировать его.
    Вирусы-вымогатели, которые блокируют рабочие столы ваших настольных ПК и ноутбуков . Вообще говоря, эти угрозы работают так же, как и вирусы, поражающие мобильные устройства. Однако те из этой категории просто делают рабочие столы ваших компьютеров недоступными, отображая огромное сообщение с требованием выкупа в виде всплывающего окна.
  • Когда правительство использует программы-вымогатели в законных целях:  Некоторые государственные органы могут использовать код, подобный программам-вымогателям, для наказания киберпреступников и принуждения их к оплате за свои преступления.Принцип действия программы-вымогателя тот же, однако те, кто ее использует, находятся на стороне добра и на стороне преступников.

В какую подгруппу мы можем поместить Wncry Virus?

Wncry Virus относится к типу программ-вымогателей, которых можно обвинить в шифровании файлов. К нашему разочарованию и к вашему разочарованию, эта категория, безусловно, самая неприятная. Это означает, что ваши данные будут зашифрованы, и после этого некоторые неизвестные нечестные киберпреступники будут продолжать беспокоить вас, пытаясь заставить вас заплатить выкуп в обмен на ваши заблокированные данные.

Борьба с такой инфекцией:

Как бы ужасно это ни звучало, но реального решения против программ-вымогателей не существует, поскольку заражение уже произошло. Если заражения не произошло и вас просто интересуют способы удаления такого вируса, лучший совет — не подхватывать его вообще. Профилактика работает лучше всего в ваших интересах — купите лучшую антивирусную программу и регулярно создавайте резервные копии своих данных. Если какое-либо заражение уже произошло, и вы получили надоедливое уведомление о выкупе, просто импровизируйте и попробуйте все вероятные и маловероятные способы удаления этого вируса.Здесь мы перечислили некоторые из них.

  • Приобретите самую мощную антивирусную программу. Может быть, это поможет.
  • Попробуйте удалить вирус с помощью профессионала в этой области. Это может быть довольно дорого; впрочем, это все же будет разумнее, чем отдать свои деньги каким-то преступникам.
  • Ищите и находите успешное ноу-хау, вероятно, в каких-то блогах и форумах.
  • Кроме того, вы также можете воспользоваться нашим руководством по удалению ниже. Кто знает, может в вашем случае сработает.

Удаление вирусного файла Wncry

 Вот что вам нужно сделать, чтобы удалить вирус-вымогатель с вашего компьютера.

I — Показать скрытые файлы и папки и использовать диспетчер задач

[баннер посередине]

  1. Используйте параметры папки , чтобы показать скрытые файлы и папки на вашем ПК. Если вы не знаете, как это сделать, перейдите по этой ссылке.
  2. Откройте меню «Пуск» и в поле поиска введите Диспетчер задач .
  3. Откройте первый результат и во вкладке Процессы внимательно просмотрите список Процессов .
  4. Если вы заметили с именем вируса или любой другой подозрительный вид или который, кажется, потребляет большой объем памяти, щелкните его правой кнопкой мыши и откройте расположение его файла. Удалите там все.

    [баннерСредняя секунда]

  • Убедитесь, что скрытые файлы и папки на вашем компьютере видны, иначе вы не сможете увидеть все.
  1. Вернитесь к Диспетчеру задач и завершите теневой процесс.

II — Загрузка в безопасном режиме

  • Загрузите ПК в безопасный режим . Если вы не знаете, как это сделать, воспользуйтесь этим руководством/по ссылке/.

III – Определение угрозы

  1. Перейдите на веб-сайт ID Ransomware . Вот прямая ссылка.
  2. Следуйте туда, чтобы определить конкретный вирус, с которым вы имеете дело.

IV – Расшифруйте ваши файлы

  1. После того, как вы определили вирус, зашифровавший ваши файлы, вы должны приобрести соответствующий инструмент для разблокировки ваших данных.
  2. Откройте браузер и выполните поиск как расшифровать программу-вымогатель , найдите имя той программы, которая заразила вашу систему.
  3. Если повезет, вы сможете найти инструмент для расшифровки вашей программы-вымогателя. Если этого не произойдет, попробуйте Шаг V в качестве последней попытки сохранить ваши файлы.

V – Используйте Recuva для восстановления файлов, удаленных вирусом

  1. Загрузите инструмент Recuva. Это поможет вам восстановить исходные файлы, чтобы вам не нужно было фактически расшифровывать заблокированные.
  2. После загрузки программы откройте ее и выберите Далее .
  3. Теперь выберите тип файлов, которые вы хотите восстановить, и перейдите на следующую страницу.
  4. Когда вас спросят, где были ваши файлы до того, как они были удалены, либо используйте параметр В определенном месте и укажите это место, либо выберите альтернативу Я не уверен — это заставит программу искать везде на вашем ПК.
  5. Щелкните Далее и для достижения наилучших результатов включите параметр Глубокое сканирование (обратите внимание, что это может занять некоторое время).
  6. Дождитесь завершения поиска, а затем выберите, какие из перечисленных файлов вы хотите восстановить.
  • Имейте в виду, что не все файлы могут быть полностью восстановлены. Проверить, в каком состоянии находятся файлы, можно из столбца State в списке удаленных файлов.

Wncry Virus File Ransomware Removal (+ .Wncry File Recovery)

Эта страница поможет вам бесплатно удалить Wncry Virus File. В наших инструкциях также описано, как можно восстановить любой файл вируса Wncry.

В этой статье мы собираемся обобщить вредоносные возможности одного нового дополнения к семейству программ-вымогателей для шифрования файлов, которое называется Wncry Virus. За последние несколько дней этой угрозе удалось заразить несколько человек, и некоторые из них обратились за помощью к нашей команде «Как удалить». Чтобы помочь им и всем людям, которые, вероятно, были атакованы этим неприятным вымогателем, в следующих параграфах мы поделимся очень полезной информацией о распространении и методах заражения Wncry Virus, а также о возможных способах удаления вредоносного ПО.В конце страницы пользователи также найдут бесплатное руководство по удалению, которое специально составлено, чтобы помочь им обнаружить и удалить угрозу и в конечном итоге сохранить некоторые из своих зашифрованных файлов.

Wncry Virus File

Wncry Virus способен зашифровать ваши самые ценные данные!

Угрозы, основанные на программах-вымогателях, считаются одними из самых опасных онлайн-угроз, с которыми можно столкнуться. Вы можете ожидать, что этот ужасный тип программного обеспечения тайно скомпрометирует ваш компьютер, просканирует его диски на наличие наиболее часто используемых файлов, а затем зашифрует их один за другим с помощью очень сложного алгоритма шифрования.По сути, таким образом вредоносная программа не позволяет вам получить доступ к вашим собственным данным, и независимо от того, что вы пытаетесь сделать, вы не сможете использовать или открыть какие-либо из ваших файлов, если не отмените шифрование. Это может произойти только с помощью специального ключа дешифрования. Однако, чтобы получить его, вам придется заплатить огромную сумму денег в качестве выкупа. После того, как все файлы будут зашифрованы, на экране жертвы обычно появляется всплывающее предупреждение, которое шантажирует их, чтобы они заплатили определенную сумму биткойнов, если они хотят вернуть свои файлы в нормальное состояние.Это очень неприятная схема шантажа, которую хакеры используют для получения незаконных денег от жертв программ-вымогателей.

Wncry Virus использует гибкие методы распространения, чтобы заразить вас!

Число жертв программ-вымогателей быстро растет благодаря хитрым и изощренным методам, которые хакеры используют для распространения своих вредоносных программ и их заражения. Расширенные угрозы, такие как Wncry Virus, обычно распространяются благодаря хорошо замаскированным онлайн-передатчикам, таким как заразные электронные сообщения, электронные письма с вредоносными вложениями, спам, загрузки с диска, зараженные сайты, торренты, нелегальные веб-страницы или вредоносная реклама.В большинстве случаев троянский конь помогает программам-вымогателям проникнуть внутрь машины, предоставляя системную уязвимость и прикрывая ее. Что более тревожно, так это то, что не так много видимых симптомов, которые могут выдать вредоносное ПО и помочь пользователям поймать его и вовремя удалить. На самом деле, даже антивирус может не обнаружить Wncry Virus, что делает эту угрозу действительно сложной и опасной.

Как бороться с программами-вымогателями?

Когда мы говорим об инфекциях-вымогателях, есть два аспекта — очистка вашей системы от инфекции и восстановление ваших зашифрованных файлов.Хранить неприятную криптовирусную угрозу, такую ​​​​как Wncry Virus, на вашем компьютере, безусловно, не очень хорошая идея. Большинство экспертов по безопасности, включая нашу команду, советуют вам как можно скорее удалить вредоносное ПО из вашей системы. Для этого вы можете использовать руководство по удалению, подобное приведенному ниже, или обратиться за помощью к профессионалу. Однако это не приведет к автоматическому восстановлению ваших файлов. К сожалению, ни гид, ни эксперт, ни даже сами хакеры не могут гарантировать вам, что вы сможете полностью восстановить зашифрованные данные.Мошенники могут пообещать вам, что как только вы заплатите выкуп, они пришлют вам ключ расшифровки, и все будет как прежде. Но как можно доверять преступникам, которые только что скомпрометировали весь ваш компьютер? Да, они могут пообещать вам многое, они могут даже отправить вам часть ключа дешифрования и позволить вам его протестировать, но как только они получат деньги, какова вероятность того, что они сдержат свое обещание? К сожалению, не очень большой. Большинство жертв программ-вымогателей в конечном итоге платят огромные суммы денег в качестве выкупа и никогда не получают ключ дешифрования от мошенников, поскольку они исчезают в тот самый момент, когда получают платеж.Более разумное решение — избавиться от инфекции и искать другие методы восстановления ваших данных. Если у вас есть копии файлов где-то на другом устройстве или внешнем диске, которые не были заражены, вы можете легко их использовать. Кроме того, вы можете попробовать выполнить инструкции по восстановлению файлов, которые мы включили в руководство ниже. Все это безрисковые варианты, которые, возможно, не смогут восстановить зашифрованные файлы в полной мере, но все же могут помочь вам свести к минимуму потерю данных до определенной степени.

ОБЗОР:

Удаление вирусного файла Wncry Ransomware


Вы имеете дело с вирусом-вымогателем, который может восстановиться, если вы не удалите его основные файлы. Мы отправляем вас на другую страницу с руководством по удалению, которое регулярно обновляется. В нем содержатся подробные инструкции о том, как:
1. Найдите и просканируйте вредоносные процессы в диспетчере задач.
2. Определите в Панели управления все программы, установленные с вредоносными программами, и способы их удаления. Search Marquis  – это высококлассный угонщик, который устанавливается с большим количеством вредоносных программ.
3. Как расшифровать и восстановить зашифрованные файлы (если это возможно в настоящее время).
Руководство по удалению можно найти здесь.

Исходный файл и зашифрованная копия

Контекст 1

… до создания зашифрованной копии с расширением .wncry (рис. 1) и удаления исходного файла. Затем программа-вымогатель WannaCry отображает свой пользовательский интерфейс (рис. 2) и требует от жертвы выкуп в размере 300 долларов США в биткойнах за расшифровку файлов….

Context 2

… анализ программы-вымогателя Petya показал, что после выполнения программа-вымогатель Petya приведет к сбою системы (рис. 8), прежде чем приступить к ее перезапуску и началу предполагаемого процесса CHKDSK (рис. 9) . После завершения этого процесса при каждой последующей загрузке отображается сообщение, отображающее пользовательский интерфейс и требование выкупа (рис. 10), в частности ограничивающее доступ к операционной системе и базовым данным, что делает систему неработоспособной. Такое поведение предполагает, что при первом рассмотрении Petya по своей сути является наиболее опасным из образцов программы-вымогателя из-за заявления Petya о шифровании файлов и потере функциональности системы….

Контекст 3

… дальнейшее изучение последствий Petya, выполнение повторялось с физической средой компьютера, и на каждом этапе процесса выполнения применялась экспертиза диска. Это показало, что если Petya был прерван до ложного процесса CHKDSK, том на диске оставался нетронутым вместе с его данными, как указано ntfsinfo64 (рис. 11), что показало, что на этом этапе может быть достигнуто ручное восстановление MBR/BCD для восстановить как функциональность системы, так и данные.Однако, если система перешла к процессу CHKDSK и позволила завершиться, анализ показал, что с ntfsinfo64 не существует информации о томе диска, и проверка привела к ошибке (рис. 12). …

Контекст 4

… показал, что если Петя был прерван до ложного процесса CHKDSK, том на диске остался нетронутым вместе с его данными, как указано ntfsinfo64 (рисунок 11), который показал, что руководство На этом этапе можно выполнить ремонт MBR/BCD, чтобы восстановить как функциональность системы, так и данные.Однако, если система перешла к процессу CHKDSK и позволила завершиться, анализ показал, что с ntfsinfo64 не существует информации о томе диска, и проверка привела к ошибке (рис. 12). Это указывает на то, что и MFT, и информация о томе утеряны, и любое ручное восстановление MBR/BCD может оказаться проблематичным. …

Context 5

… последней программой-вымогателем в этом исследовании является CrySiS, которая якобы кажется наименее сложной из изученных программ-вымогателей, однако результаты анализа показывают, что этот образец программы-вымогателя предлагает самые низкие перспективы для жертвы в отношении восстановление работоспособности системы и данных.CrySiS при первоначальном выполнении сначала отдает приоритет шифрованию ресурсов в сопоставленных сетевых расположениях ( рис. 13 ), а затем шифрует все файлы локальных компьютеров, включая как пользовательские файлы, так и программные файлы, перед тем, как представить свой пользовательский интерфейс, что приводит к нарушению функциональности системы и данных. . Во время анализа файлы отслеживались с помощью FolderChangesView, это подтвердило, что были созданы зашифрованные дубликаты файлов, которые были названы с использованием исходных имен файлов и расширения .идентификатор-E80B1891. …

Контекст 6

… до того, как было показано, что исходные файлы были изменены и удалены в первую очередь (рис. 11). Анализ показал, что непосредственно перед удалением исходные файлы были лишены своих данных, что означает, что каждый из них был 0 КБ по сравнению с их исходным размером, как показано с помощью program.py …

Context 7

… показал, что непосредственно перед для удаления исходные файлы были лишены своих данных, что означает, что каждый из них был 0 КБ по сравнению с их исходным размером, как показано в программе.ру (рис. 15). Такое поведение повторяет поведение WannaCry, но предпринимает дополнительные шаги для нарушения целостности исходных файлов перед удалением, очевидно, чтобы помешать попыткам восстановления данных. …

Context 8

… второму образцу WannaCry было разрешено выполняться на подготовленной виртуальной машине и предоставлен доступ к виртуальной сети в VMWare, входящая и исходящая сетевая активность тщательно отслеживалась с помощью Wireshark. Результаты показывают, что после выполнения образец WannaCry пытается просмотреть весь диапазон адресов локальной сети, чтобы найти другие узлы, на которых образец может распространяться по сети (рис. 16).Имеющиеся данные свидетельствуют о том, что как только удаленный хост будет обнаружен в сети, образец WannaCry попытается заразить удаленный хост, используя уязвимость, известную как EternalBlue, в протоколе Windows SMB2, что позволит ему эффективно распространяться на другие хосты в сети. …

Context 9

… для сравнения также была изучена сетевая активность, результаты показывают, что Петя проявляет аналогичную активность, но при обнаружении хоста для заражения начинает обмениваться значительным трафиком TCP и SMB2 с выявленным уязвимым хостом (Рисунок 17) для распространения полезной нагрузки Petya из одной системы в другую.Вторичный зараженный хост продолжит сканирование сети в поисках дополнительных хостов для заражения вместе с первоначально зараженным хостом (рис. 18) в течение неопределенного времени, пока система не будет выключена или перезапущена, после чего сработает фальсифицированный процесс CHKDSK и перезапишет мастер-сервер. файловая таблица (MFT). …

Context 10

… сетевая активность также была изучена для сравнения, результаты показывают, что Петя проявляет аналогичную активность, но при обнаружении узла для заражения начинает обмениваться значительным трафиком TCP и SMB2 с выявленным уязвимым узлом (Рисунок 17) для распространения полезной нагрузки Petya из одной системы в другую.Вторичный зараженный хост продолжит сканирование сети в поисках дополнительных хостов для заражения вместе с первоначально зараженным хостом (рис. 18) в течение неопределенного времени, пока система не будет выключена или перезапущена, после чего сработает фальсифицированный процесс CHKDSK и перезапишет мастер-сервер. файловая таблица (MFT). …

Context 11

… работа по исследованию входящего и исходящего сетевого трафика с помощью Wireshark для CrySiS/Dharma не дала результатов, однако результаты статического анализа с помощью Immunity Debugger выявили несколько ссылок на WebDav в форме davcint среди другие (рис. 19).Это говорит о том, что образец может распространяться на серверы как в сети, так и, возможно, в Интернете. …

Context 12

… однако восстановление оказалось жизнеспособным с использованием физического оборудования и инструментов судебной экспертизы дисков, таких как DiskGenius, путем удаления физического жесткого диска из системы и подключения его к альтернативной системе, а также с использованием инструментов судебной экспертизы дисков. для поиска диска по секторам. Это привело к тому, что большие объемы заполненных данных оказались неповрежденными и поддающимися восстановлению (рис. 21). Проверка SHA256 показала, что целостность файлов между восстановленными файлами и первоначально заполненными файлами не изменилась (рис. 22).Анализ показал, что, хотя Petya оказался наиболее разрушительным, не было обнаружено никаких доказательств шифрования файлов, поскольку Petya использовал альтернативный метод, сначала повреждая MBR/BCD, прежде чем приступить к повреждению таблицы MFT. …

Удаление вируса Wana Decrypt0r 2.0 и восстановление файлов .WNCRY .WCRY

Массовая вспышка программы-вымогателя, распространяющая новую версию Wana Decrypt0r 2.0, также известную как программа-вымогатель WannaCry, была недавно остановлена ​​исследователем вредоносных программ по имени ». Вредоносная техника». Целью вируса является шифрование файлов на зараженных компьютерах и добавление к ним файлов с расширением .WNCRY или .WCRY. После завершения шифрования программа-вымогатель начинает вымогать у жертв записку с требованием выкупа, требуя около 300 долларов США для возврата файлов. Прочтите эту статью, чтобы узнать, как удалить вирус Wana Decrypt0r и восстановить ваши файлы, если они были зашифрованы этим вымогателем.

Wana Decrypt0r 2.0 Программа-вымогатель — что она делает?

Как только заражение этим вымогателем уже неизбежно, вирус может сразу разместить свою полезную нагрузку на компьютере жертвы. Полезная нагрузка может находиться в нескольких разных папках, в том числе:

  • %AppData%
  • %Локальный%
  • %Локаллоу%
  • %Роуминг%
  • %Windows%

Вирус сбрасывает свою полезную нагрузку в несколько файлов .DLL и других типов файлов с расширением .wnry, имя каждого файла начинается с буквы, например a.нри. Затем угроза Wana Decrypt0r 2.0 начинает изменять редактор реестра Windows:

.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Выполнить
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Выполнить

Строки с данными могут создаваться под случайными именами с расположением файлов вирусов.

Эксперты также сообщают о заражении вирусом-вымогателем Wana Decrypt0r 2.0 для удаления теневых копий томов и восстановления системы на компьютерах с Windows:

→ вызов процесса создать «cmd.exe /c
vssadmin.exe удалить тени / все / тихо
bcdedit.exe / set {по умолчанию} recoveryenabled нет
bcdedit.exe / set {по умолчанию} bootstatuspolicy ignoreallfailures

Другой активностью угрозы Wana Decrypt0r 2.0 является остановка MySQL и других процессов Windows. Но это происходит только после получения Административного доступа.

Вирус Wana Decrypt0r 2.0 также использует сложный алгоритм для шифрования файлов на зараженном компьютере. Программа-вымогатель сканирует следующие файлы, чтобы зашифровать их:

После того, как файлы зашифрованы, Wana Decrypt0r 2.0 добавляет одно из этих двух расширений файлов после имен файлов документов, видео, музыкальных файлов и других файлов на зашифрованном компьютере:

Но это еще не все действия. Вирус также изменяет записи реестра, чтобы изменить обои жертвы на следующее изображение:

Сообщение в нем требует от жертв немедленно открыть файл @[email protected] , в котором отображается полная программа для заметок о выкупе с таймером крайнего срока, который увеличивает выкуп на 300 $, если он не будет уплачен вовремя:

Wana Decrypt0r 2.0 – Как это заражает?

Процесс заражения этим вирусом начинается с его способа распространения. Пока это может быть через:

  • Спам-сообщения по электронной почте.
  • Поддельные настройки загружены в сеть.
  • Через ботнеты, нацеленные на организации.

Какими бы ни были методы, одно можно сказать наверняка — хакеры, стоящие за этим вирусом, используют эксплойты из утечки эксплойтов АНБ хакерской группой The Shadow Brokers под названием «Lost in Translation» .Эти эксплойты являются критическими, и Microsoft выпустила для них исправления. Всем пользователям операционных систем Windows рекомендуется выполнить обновление. Сообщается, что эксплойты следующие:

  • EASYBEE
  • EASYPI
  • ЭВОКФРЕНЗИ
  • ВЗРЫВНАЯ БАНКА
  • ВЕЧНЫЙ РОМАНТ
  • ОБРАЗОВАННЫЙУЧЕНЫЙ
  • ИЗУМРУДНАЯ РЕЗЬБА
  • АКЦЕНТ
  • АНГЛИЙСКИЙ СТОМАТОЛОГ
  • ОШИБКА
  • ВЕЧНАЯСИНЕРГИЯ
  • ВЕЧНО-СИНИЙ
  • ВЕЧНЫЙ ЧЕМПИОН
  • ЭСКИМОРОЛЛ
  • ЭСТЕМАУДИТ
  • ЗАТМИТЕЛЬНОЕ КРЫЛО
  • РАСШИРИТЕЛЬНЫЙ ШКИВ
  • ГРОК
  • ПУЧОК
  • ДВОЙНОЙ ПУЛЬСАР
  • БЕЗ ПРОХОДА
  • РАЗНООБРАЗНАЯ РАБОТА
  • ДЖИПФЛЕА_МАРКЕТ

Чтобы удалить эту заразу вымогателя, вы можете следовать приведенному ниже руководству.Имейте в виду, что лучший метод удаления, по мнению исследователей безопасности, — это загрузить передовой продукт для защиты от вредоносных программ, который поможет вам полностью удалить эту заразу вымогателя и защитить ваш компьютер в будущем.

Как бы то ни было, специалисты настоятельно не рекомендуют платить выкуп и удалять вирус самостоятельно, а также пытаться восстановить файлы другими способами, подобными приведенным ниже инструкциям.

Загрузка в безопасном режиме

Для Windows:
1) Удерживайте Ключ Windows и R
2) Появится окно запуска, в нем введите «msconfig» и нажмите Введите
3) После появления окна перейдите на вкладку «Загрузка» и выберите «Безопасная загрузка».

Вырезать Wana Decrypt0r 2.0 в диспетчере задач

1) Нажмите одновременно CTRL+ESC+SHIFT .
2) Найдите вкладку «Процессы».
3) Найдите вредоносный процесс Wana Decrypt0r 2.0 и завершите его задачу, щелкнув его правой кнопкой мыши и выбрав «Завершить процесс»

Удаление вредоносных реестров Wana Decrypt0r 2.0

Для большинства вариантов Windows:
1) Удерживайте кнопку Windows и R.
2) В поле «Выполнить» введите «Regedit» и нажмите «Ввод».
3) Удерживая клавиш CTRL+F , введите Wana Decrypt0r 2.0 или имя файла вредоносного исполняемого файла вируса, который обычно находится в %AppData%, %Temp%, %Local%, %Roaming% или %SystemDrive%.
4) После обнаружения вредоносных объектов реестра, некоторые из которых обычно находятся в подразделах Run и RunOnce, окончательно удалите их и перезагрузите компьютер. Вот как найти и удалить ключи для разных версий.
Для Windows 7: Откройте меню «Пуск» и в поле поиска введите regedit -> «Открыть». -> Удерживая клавиши CTRL + F -> Введите Wana Decrypt0r 2.0 Вирус в поле поиска.
Пользователи Win 8/10: кнопка «Пуск» -> выберите «Выполнить» -> введите regedit -> нажмите «Ввод» -> нажмите кнопки CTRL + F. Введите Wana Decrypt0r 2.0 в поле поиска.

Автоматическое удаление Wana Decrypt0r 2.0
СКАЧАТЬ СРЕДСТВО ДЛЯ УДАЛЕНИЯ Wana Decrypt0r 2.0 Бесплатная версия SpyHunter будет сканировать ваш компьютер только для обнаружения любых возможных угроз. Чтобы удалить их навсегда с вашего компьютера, приобретите его полную версию. Инструмент удаления вредоносных программ Spy Hunter дополнительная информация/Инструкции по удалению SpyHunter
Восстановление файлов, зашифрованных Wana Decrypt0r 2.0 Программы-вымогатели.

Способ 1: Использование Shadow Explorer . Если вы включили историю файлов на своем компьютере с Windows, вы можете использовать Shadow Explorer, чтобы вернуть свои файлы. К сожалению, некоторые вирусы-вымогатели могут удалить эти теневые копии томов с помощью административной команды, чтобы вы не могли этого сделать.

Способ 2. Если вы попытаетесь расшифровать файлы с помощью сторонних инструментов расшифровки. Многие поставщики антивирусных программ за последние пару лет расшифровали множество вирусов-вымогателей и опубликовали для них дешифраторы.Скорее всего, если ваш вирус-вымогатель использует тот же код шифрования, что и дешифруемый вирус, вы можете получить файлы обратно. Однако это также не является гарантией, поэтому вы можете попробовать этот метод с копиями исходных зашифрованных файлов, потому что, если сторонняя программа вмешается в их зашифрованную структуру, они могут быть повреждены безвозвратно. Вот поставщики, которых нужно искать:

  • Касперский.
  • Эмсисофт.
  • Трендмикро.

Способ 3: Использование инструментов восстановления данных. Этот метод предложен несколькими экспертами в этой области. Его можно использовать для сканирования секторов вашего жесткого диска и, следовательно, заново шифровать зашифрованные файлы, как если бы они были удалены. Большинство вирусов-вымогателей обычно удаляют файл и создают зашифрованную копию, чтобы предотвратить восстановление файлов такими программами, но не все они настолько сложны. Таким образом, у вас может быть шанс восстановить некоторые из ваших файлов с помощью этого метода. Вот несколько программ восстановления данных, которые вы можете попробовать и восстановить хотя бы часть ваших файлов:

Массовая вспышка программы-вымогателя, распространяющая новую версию Wana Decrypt0r 2.0, также известный как программа-вымогатель WannaCry, был недавно остановлен исследователем вредоносных программ под ником «MalwareTech». Целью вируса является шифрование файлов на зараженных компьютерах и добавление к ним файлов с расширением .WNCRY или .WCRY. После завершения шифрования программа-вымогатель начинает вымогать у жертв записку с требованием выкупа, требуя около 300 долларов США для возврата файлов. Прочтите эту статью, чтобы узнать, как удалить вирус Wana Decrypt0r и восстановить ваши файлы, если они были зашифрованы этим вымогателем.

Wana Decrypt0r 2.0 Программа-вымогатель — что она делает?

Как только заражение этим вымогателем уже неизбежно, вирус может сразу разместить свою полезную нагрузку на компьютере жертвы. Полезная нагрузка может находиться в нескольких разных папках, в том числе:

  • %AppData%
  • %Локальный%
  • %Локаллоу%
  • %Роуминг%
  • %Windows%

Вирус сбрасывает свою полезную нагрузку в несколько файлов .DLL и других типов с расширением .wnry, имя каждого файла начинается с буквы, например, a.wnry. Затем угроза Wana Decrypt0r 2.0 начинает изменять редактор реестра Windows:

.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Выполнить
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Выполнить

Строки с данными могут создаваться под случайными именами с расположением файлов вирусов.

Эксперты также сообщают о заражении вирусом-вымогателем Wana Decrypt0r 2.0 для удаления теневых копий томов и восстановления системы на компьютерах с Windows:

→ вызов процесса создать «cmd.exe /c
vssadmin.exe удалить тени / все / тихо
bcdedit.exe / set {по умолчанию} recoveryenabled нет
bcdedit.exe / set {по умолчанию} bootstatuspolicy ignoreallfailures

Другой активностью угрозы Wana Decrypt0r 2.0 является остановка MySQL и других процессов Windows. Но это происходит только после получения Административного доступа.

Вирус Wana Decrypt0r 2.0 также использует сложный алгоритм для шифрования файлов на зараженном компьютере. Программа-вымогатель сканирует следующие файлы, чтобы зашифровать их:

После того, как файлы зашифрованы, Wana Decrypt0r 2.0 добавляет одно из этих двух расширений файлов после имен файлов документов, видео, музыкальных файлов и других файлов на зашифрованном компьютере:

Но это еще не все действия. Вирус также изменяет записи реестра, чтобы изменить обои жертвы на следующее изображение:

Сообщение в нем требует от жертв немедленно открыть файл @[email protected] , в котором отображается полная программа для заметок о выкупе с таймером крайнего срока, который увеличивает выкуп на 300 $, если он не будет уплачен вовремя:

Wana Decrypt0r 2.0 – Как это заражает?

Процесс заражения этим вирусом начинается с его способа распространения. Пока это может быть через:

  • Спам-сообщения по электронной почте.
  • Поддельные настройки загружены в сеть.
  • Через ботнеты, нацеленные на организации.

Какими бы ни были методы, одно можно сказать наверняка — хакеры, стоящие за этим вирусом, используют эксплойты из утечки эксплойтов АНБ хакерской группой The Shadow Brokers под названием «Lost in Translation» .Эти эксплойты являются критическими, и Microsoft выпустила для них исправления. Всем пользователям операционных систем Windows рекомендуется выполнить обновление. Сообщается, что эксплойты следующие:

  • EASYBEE
  • EASYPI
  • ЭВОКФРЕНЗИ
  • ВЗРЫВНАЯ БАНКА
  • ВЕЧНЫЙ РОМАНТ
  • ОБРАЗОВАННЫЙУЧЕНЫЙ
  • ИЗУМРУДНАЯ РЕЗЬБА
  • АКЦЕНТ
  • АНГЛИЙСКИЙ СТОМАТОЛОГ
  • ОШИБКА
  • ВЕЧНАЯСИНЕРГИЯ
  • ВЕЧНО-СИНИЙ
  • ВЕЧНЫЙ ЧЕМПИОН
  • ЭСКИМОРОЛЛ
  • ЭСТЕМАУДИТ
  • ЗАТМИТЕЛЬНОЕ КРЫЛО
  • РАСШИРИТЕЛЬНЫЙ ШКИВ
  • ГРОК
  • ПУЧОК
  • ДВОЙНОЙ ПУЛЬСАР
  • БЕЗ ПРОХОДА
  • РАЗНООБРАЗНАЯ РАБОТА
  • ДЖИПФЛЕА_МАРКЕТ

Чтобы удалить эту заразу вымогателя, вы можете следовать приведенному ниже руководству.Имейте в виду, что лучший метод удаления, по мнению исследователей безопасности, — это загрузить передовой продукт для защиты от вредоносных программ, который поможет вам полностью удалить эту заразу вымогателя и защитить ваш компьютер в будущем.

Как бы то ни было, специалисты настоятельно не рекомендуют платить выкуп и удалять вирус самостоятельно, а также пытаться восстановить файлы другими способами, подобными приведенным ниже инструкциям.

Загрузка в безопасном режиме

Для Windows:
1) Удерживайте Ключ Windows и R
2) Появится окно запуска, в нем введите «msconfig» и нажмите Введите
3) После появления окна перейдите на вкладку «Загрузка» и выберите «Безопасная загрузка».

Вырезать Wana Decrypt0r 2.0 в диспетчере задач

1) Нажмите одновременно CTRL+ESC+SHIFT .
2) Найдите вкладку «Процессы».
3) Найдите вредоносный процесс Wana Decrypt0r 2.0 и завершите его задачу, щелкнув его правой кнопкой мыши и выбрав «Завершить процесс»

Удаление вредоносных реестров Wana Decrypt0r 2.0

Для большинства вариантов Windows:
1) Удерживайте кнопку Windows и R.
2) В поле «Выполнить» введите «Regedit» и нажмите «Ввод».
3) Удерживая клавиш CTRL+F , введите Wana Decrypt0r 2.0 или имя файла вредоносного исполняемого файла вируса, который обычно находится в %AppData%, %Temp%, %Local%, %Roaming% или %SystemDrive%.
4) После обнаружения вредоносных объектов реестра, некоторые из которых обычно находятся в подразделах Run и RunOnce, окончательно удалите их и перезагрузите компьютер. Вот как найти и удалить ключи для разных версий.
Для Windows 7: Откройте меню «Пуск» и в поле поиска введите regedit -> «Открыть». -> Удерживая клавиши CTRL + F -> Введите Wana Decrypt0r 2.0 Вирус в поле поиска.
Пользователи Win 8/10: кнопка «Пуск» -> выберите «Выполнить» -> введите regedit -> нажмите «Ввод» -> нажмите кнопки CTRL + F. Введите Wana Decrypt0r 2.0 в поле поиска.

Автоматическое удаление Wana Decrypt0r 2.0
СКАЧАТЬ СРЕДСТВО ДЛЯ УДАЛЕНИЯ Wana Decrypt0r 2.0 Бесплатная версия SpyHunter будет сканировать ваш компьютер только для обнаружения любых возможных угроз. Чтобы удалить их навсегда с вашего компьютера, приобретите его полную версию. Инструмент удаления вредоносных программ Spy Hunter дополнительная информация/Инструкции по удалению SpyHunter
Восстановление файлов, зашифрованных Wana Decrypt0r 2.0 Программы-вымогатели.

Способ 1: Использование Shadow Explorer . Если вы включили историю файлов на своем компьютере с Windows, вы можете использовать Shadow Explorer, чтобы вернуть свои файлы. К сожалению, некоторые вирусы-вымогатели могут удалить эти теневые копии томов с помощью административной команды, чтобы вы не могли этого сделать.

Способ 2. Если вы попытаетесь расшифровать файлы с помощью сторонних инструментов расшифровки. Многие поставщики антивирусных программ за последние пару лет расшифровали множество вирусов-вымогателей и опубликовали для них дешифраторы.Скорее всего, если ваш вирус-вымогатель использует тот же код шифрования, что и дешифруемый вирус, вы можете получить файлы обратно. Однако это также не является гарантией, поэтому вы можете попробовать этот метод с копиями исходных зашифрованных файлов, потому что, если сторонняя программа вмешается в их зашифрованную структуру, они могут быть повреждены безвозвратно. Вот поставщики, которых нужно искать:

  • Касперский.
  • Эмсисофт.
  • Трендмикро.

Способ 3: Использование инструментов восстановления данных. Этот метод предложен несколькими экспертами в этой области. Его можно использовать для сканирования секторов вашего жесткого диска и, следовательно, заново шифровать зашифрованные файлы, как если бы они были удалены. Большинство вирусов-вымогателей обычно удаляют файл и создают зашифрованную копию, чтобы предотвратить восстановление файлов такими программами, но не все они настолько сложны. Таким образом, у вас может быть шанс восстановить некоторые из ваших файлов с помощью этого метода. Вот несколько программ восстановления данных, которые вы можете попробовать и восстановить хотя бы часть ваших файлов:

Внутри кибератаки программы-вымогателя WannaCry, которая терроризировала мир и принесла всего 100 тысяч долларов — Quartz

У Роберта Грена оставалось 26 минут, чтобы решить, платить ли выкуп.Это было в понедельник, 15 мая, через три дня после начала глобальной кибератаки, теперь известной как WannaCry, и часы на экране компьютера Грена вели обратный отсчет.

Над часами было предупреждение: «Платеж будет повышен 15.05.2017 21:13:40».

Программа-вымогатель на настольном компьютере Грена зашифровала его файлы и потребовала, чтобы он заплатил 300 долларов в биткойнах, чтобы вернуть их. Через 26 минут цена удвоится. Он был готов заплатить, потому что файлы, которые он потерял, представляли собой всю его цифровую историю: семейные фотографии, рабочие файлы, музыку.Все бы исчезло. Но он не верил, что хакеры расшифруют его файлы, даже если он заплатит.

«Я все еще борюсь со своими мыслями», — сказал он по телефону, наблюдая, как тикают часы. «Я нашел некоторых людей, которые утверждают, что их друзья или знакомые расшифровали свои файлы. Но, с другой стороны, мне не удалось как-либо проверить это или связаться с кем-либо напрямую».

Тремя днями ранее, когда на домашнем компьютере Грена, работающем под управлением Windows 7, погас экран, он не придал этому особого значения.Было 4 часа дня. в Кракове, Польша, где 32-летний Грен работает из дома в компании онлайн-развлечений. Он предположил, что внезапный черный экран был безобидным сбоем, и выключил и снова включил компьютер.

Программа-вымогатель, которая только что проникла на рабочий стол Грена, одновременно устанавливалась на десятки тысяч других компьютеров с Windows в Европе, Азии и некоторых частях Северной Америки. Примерно через 30 минут после того, как экран Грена погас, Национальная служба здравоохранения США.К. объявил, что компьютеры в 16 его медицинских учреждениях были заражены. Врачи не могли получить доступ к картам пациентов, а отделения неотложной помощи были вынуждены отказывать людям.

Вскоре стало 33 объекта. Затем была телекоммуникационная компания в Испании, оператор сотовой связи в России и французский автопроизводитель Renault. Любой, кто использует определенные версии Windows, которые не обновлялись в течение последнего месяца, был уязвим. Через несколько часов его назвали самой успешной атакой программ-вымогателей всех времен.

Когда появились сообщения о новых случаях заражения в десятках стран, и казалось, что вспышка может перерасти в тотальную эпидемию, 22-летний исследователь безопасности из Великобритании принял быстрое решение. Исследователь, известный под псевдонимом MalwareTech, получил копию программы-вымогателя от друга и запустил ее в тестовой среде на своем компьютере. Он заметил, что программа пытается, но не может получить доступ к веб-адресу, длинной цепочке случайных букв с расширением дотком.

Его называли самой успешной атакой программ-вымогателей всех времен.

В сообщении в блоге Talos, команды Cisco по анализу угроз, позже отмечалось, что адрес выглядел так, как будто он был введен человеком, а не сгенерирован компьютером, «при этом большинство символов попадало в верхний и домашний ряды клавиатуры». MalwareTech просмотрел адрес и обнаружил, что он не зарегистрирован, поэтому он зарегистрировал его. Оказалось, что сам URL-адрес был своего рода аварийным выключателем. Тот, кто разработал программу-вымогатель, запрограммировал ее на отключение, если она сможет получить доступ к этому адресу.

Через несколько секунд программа-вымогатель немедленно прекратила копировать себя на новые компьютеры.Молодой исследователь быстро справился с вредоносным ПО, но для тех, чьи компьютеры уже были заражены, было слишком поздно.

Роберт Грен

Окно Wana Decrypt0r 2.0 на компьютере Грена с Windows 7

В Кракове через час после того, как Грен перезагрузил свой компьютер и вернулся к работе, экран снова погас. Опять выключил и включил. Когда он снова вошел в систему на этот раз, значки на его рабочем столе превратились в пустые белые прямоугольники. Имена файлов под ними теперь заканчивались расширением «.плачь. Грен открыл несколько папок, и файлы в каждой из них имели одинаковое расширение «.wncry». Его сердце начало биться быстрее. Он попытался открыть некоторые файлы, но ничего не вышло. Ему удалось открыть текстовый файл в Блокноте, но это была тарабарщина. Вскоре на его экране появилось красное окно.

«К сожалению, ваши файлы были зашифрованы!» он сказал. Имя в строке заголовка в верхнем левом углу окна было «Wana Decrypt0r 2.0».

Примерно в то же время в пригороде Сиэтла, штат Вашингтон, Марка Пендерграфта только что вырвало.В то утро он ушел с работы с желудочным гриппом, но теперь его деловой партнер писал ему сообщения. Что-то странное произошло с файлами на сервере в их офисе Mead Gilman & Associates, небольшой геодезической фирмы. В конце имен файлов появилось новое расширение: «.wncry».

Пендерграфт, 34-летний партнер фирмы, выполнил поиск в Google по расширению и отсканировал несколько страниц, а затем перезвонил своему деловому партнеру. «Немедленно выключите сервер», — сказал он.Он знал, что это будет означать, что офис не сможет работать до конца дня, и сотрудников придется отправить домой.

Пендерграфт повесил трубку, и рвота возобновилась.

Поскольку исследователи безопасности и наблюдатели в социальных сетях и блогах в течение дня распространяли информацию о программе-вымогателе, появилось сокращение для атаки. Wana Decrypt0r 2.0 также был известен как «WannaCrypt0r», «WCrypt» и «WnCry», и к полудню первого дня атаки эксперты по безопасности в Twitter придумали имя для этого нового штамма: WannaCry.

Хотя эта атака запомнилась по названию, полученному от самого инструмента для вымогательства, не Wana Decrypt0r обеспечил быстрое распространение, отличающее эту атаку от других. Программа-вымогатель WannaCry представляет собой набор вредоносных программ, в том числе инструмент для внедрения бэкдора под названием DoublePulsar и программный эксплойт под названием EternalBlue.

14 марта, еще до того, как имена DoublePulsar и EternalBlue стали известны широкой публике, Microsoft выпустила критическое обновление безопасности MS17-010 почти для каждой современной версии своей операционной системы Windows.Все в патче казалось нормальным, за исключением одной детали. В отличие от почти всех обновлений безопасности, выпускаемых Microsoft, в этом не упоминается исследователь, обнаруживший уязвимость, исправленную этим патчем.

Месяц спустя, в тот же день, группа, называющая себя Shadow Brokers, выложила в открытый доступ большое количество хакерских инструментов, включая программное обеспечение, использующее различные бреши в системе безопасности. Группа заявила, что украла тайник Агентства национальной безопасности США (АНБ).Одним из включенных в него инструментов был DoublePulsar. Другим был EternalBlue, эксплойт, нацеленный на уязвимость Windows, которую Microsoft исправила в выпуске MS17-010 месяцем ранее.

Конечно, АНБ не подтвердило, что инструменты поступили от его агентства, и Microsoft не сообщила, принадлежит ли отсутствующий кредит в выпуске АНБ. Но среди экспертов по безопасности широко распространено мнение, что они это сделали, и так оно и есть.

Выпуск Shadow Brokers, по словам Чарльза МакФарланда, старшего научного сотрудника McAfee, «предоставил достаточно информации, чтобы [содержащееся в нем вредоносное ПО] можно было быстро добавить в общедоступные инструменты в течение нескольких дней.

Когда 12 мая началась эпидемия WannaCry, DoublePulsar и EternalBlue были в дикой природе почти месяц, и исследователи безопасности предупреждали, что эти мощные инструменты могут быть использованы для разрушительных целей. К моменту начала эпидемии хакеры уже внедрили бэкдор DoublePulsar не менее чем в 400 000 компьютеров. И хотя Microsoft выпустила патч для EternalBlue двумя месяцами ранее, многие его не установили. Характер скорости и эффективности WannaCry быстро дал понять исследователям, что он использует оба инструмента.

Никому не нужно было переходить по ссылке в фишинговом письме или посещать подозрительный веб-сайт, чтобы заразиться программой-вымогателем WannaCry. Программа может копировать себя с одного компьютера на другой в локальной сети и даже через Интернет без участия человека. Как только он внедряется в компьютер, он сразу же приступает к работе, выполняя одну вредоносную команду за другой.

Никому не нужно было щелкать ссылку в фишинговом письме, чтобы заразиться программой-вымогателем WannaCry

Во-первых, она запускает программу под названием tasksche.exe, который проверяет, активен ли веб-адрес kill-switch. Если это не так, WannaCry переходит к следующему шагу: поиску более уязвимых компьютеров. Сначала он проверяет локальную сеть, а затем генерирует случайные IP-адреса для сканирования компьютеров в Интернете. Он пытается подключиться к каждому IP-адресу, проверяя, открыт ли определенный порт с номером 445. Когда он успешно подключается к другому компьютеру, он создает свою копию и передает эту копию. Затем вредоносное ПО приступает к работе, получая контроль над компьютером, на котором оно установлено, сначала с помощью EternalBlue.Если повезет, он находится на уязвимом компьютере с Windows, который не обновлялся с тех пор, как Microsoft выпустила свой патч для EternalBlue в середине марта.

Это когда владельцу зараженного компьютера становится плохо. Здесь WannaCry использует EternalBlue, чтобы обмануть блок сообщений сервера (SMB) — службу в Windows, которая позволяет пользователям в сети обмениваться файлами и другими ресурсами друг с другом, — заставляя думать, что вредоносное ПО является законным ресурсом, позволяя ему внедрить Бэкдор DoublePulsar.Теперь вредоносное ПО имеет полный доступ к компьютеру и начинает шифровать свои файлы. Когда он будет завершен, он отображает записку о выкупе.

К вечеру 12 мая Роберт Грен выключил свой зараженный компьютер и открыл другой ноутбук для поиска ответов, перепробовав все комбинации ключевых слов, которые только мог придумать. «Программа-вымогатель WnCry». «WnCry 2.0». Во-первых, он хотел найти способ расшифровать файлы самостоятельно. «Расшифровка WannaCry». «Как расшифровать». Затем он просто хотел знать, получит ли он свои файлы обратно, если заплатит выкуп.

«На самом деле я не присутствую ни в каких социальных сетях», — сказал Грен. «У меня нет инстаграма. Я не пользуюсь своим Facebook. Наверное, я просто частное лицо». Но в ту пятницу вечером он создал учетную запись в Твиттере, пытаясь обрести хоть какую-то надежду, найти кого-то, кто заплатил выкуп и восстановил доступ к своим файлам. Он пришел пустой. Он ложился спать в час ночи, но не спал несколько часов.

«Я не мог отключить свой мозг», — сказал он по телефону. «Я не мог перестать думать о том, что произошло.Я пытался понять, что еще я могу сделать. Какой другой подход я могу выбрать».

Когда та пятница закончилась, WannaCry больше не распространялся, но, согласно трекеру, установленному MalwareTech, было заражено более 80 000 компьютеров, и жертвы уже начали платить выкуп. Сообщение на экране каждой жертвы требовало отправить 300 или 600 долларов на один из трех биткойн-адресов.

Все биткойн-адреса имеют связанные учетные записи, обычно называемые кошельками, которые доступны для общественности.А поскольку эта конкретная программа-вымогатель использовала всего три кошелька, весь мир мог легко наблюдать за тем, как они начали получать платежи. В первый день на эти три кошелька было совершено 36 платежей на сумму от 250 до 600 долларов.

Использование только трех биткойн-адресов позволило наблюдателям и правоохранительным органам легко следить за кошельками, но, по-видимому, злоумышленникам также было трудно узнать, какие жертвы заплатили, а какие нет. В прошлых атаках более сложные программы-вымогатели динамически генерировали новый биткойн-адрес для каждой зараженной ими машины, чтобы можно было автоматизировать процесс расшифровки компьютеров жертв, которые заплатили.Если деньги попадают на адрес X , жертва Y расшифровывается.

Использование всего трех кошельков, с другой стороны, указывает на то, что хакерам, стоящим за атакой, возможно, приходилось вручную предоставлять расшифровку любой жертве, которая платила, возможно, используя встроенную систему обмена сообщениями вымогателя, которая позволяла жертвам общаться со своими злоумышленниками. . Если целью программ-вымогателей является вымогательство денег у своих жертв, функциональность для сбора платежей так же важна, как и код, который позволяет вредоносным программам распространяться, и эта платежная система выглядела так, как будто она была создана любителями.

Это был выбор, который смутил экспертов, как и решение хакеров встроить URL-адрес аварийного выключателя. Оба выглядели как ошибки новичка, не соответствующие уровню сложности остальных вредоносных программ. Выяснилось, что разработчики платежной системы не знали, что делают, или что атака была связана не с деньгами.

«Разработчики WannaCry приняли несколько странных решений, — сказал Макфарланд, научный сотрудник McAfee. «Он построен не так, как программы-вымогатели, которые мы обычно видим в дикой природе.

К субботе, 13 мая, Марка Пендерграфта уже не тошнило. Он пошел в свой офис, чтобы встретиться со своим деловым партнером Шейном Барнсом, чтобы оценить ущерб. Большинство файлов на их сервере Windows SBS 2011 были зашифрованы. Они неосознанно использовали кредитную карту с истекшим сроком действия для своей учетной записи резервного копирования в облаке, и срок ее действия истек. Красное окно Wana Decrypt0r требовало 600 долларов. Они посоветовались со своим ИТ-подрядчиком, и он сказал, что ничего не может сделать.

Пендерграфт и его напарник решили заплатить выкуп.

«Шейн начинает исследовать, как купить биткойны и настроить кошелек», — сказал Пендерграфт в электронном письме. «Он идет на CoinBase, и ему говорят, что он может обменивать на биткойны только 500 долларов в неделю, и только тогда, если он загрузит свое удостоверение личности».

Барнс загрузил свое удостоверение личности на веб-сайт и вложил 500 долларов, а затем взял 200 долларов в биткойн-банкомат, где он мог внести деньги прямо в свой кошелек. В тот же вечер Пендерграфт и Барнс произвели платеж на адрес кошелька, указанный в их копии Wana Decrypt0r 2.0. А потом дождались.

В Кракове Герн провел целый день за исследованиями, все еще пытаясь найти доказательства того, что он получит свои файлы обратно, если заплатит выкуп. В Твиттере он сообщил экспертам, которые написали в Твиттере, что некоторые люди смогли получить свои файлы после оплаты. Но они либо не ответили, либо сказали ему, что не знают этих людей напрямую.

Во второй половине дня Герн сделал перерыв, чтобы посмотреть «Чужой: Завет». Ему это не понравилось.

Он решил нажать кнопку «связаться с нами» на Wana Decrypt0r.Он отправил сообщение о том, что заплатил выкуп, хотя он этого не сделал. Он нажал на кнопку с надписью «проверить платеж», что якобы является способом, которым жертвы должны расшифровывать свои файлы после оплаты. Исследователи заявили, что функциональность кнопки вызывает сомнения. Выскочило сообщение: «Вы не заплатили или мы не подтвердили ваш платеж!» Затем дальнейшие любопытные инструкции: «Оплатите сейчас, если вы этого не сделали, и проверьте еще раз через 2 часа. Лучшее время для проверки: с понедельника по пятницу с 9:00 до 11:00 по Гринвичу.

«Вы не заплатили или мы не подтвердили ваш платеж!»

В ту ночь он снова лег спать поздно и снова не мог заснуть.

Воскресенье Герна было почти таким же, как и его суббота. Он исследовал без везения. Он отправил еще одно сообщение, снова сказав, что заплатил и хочет вернуть свои файлы. Он нажал кнопку и получил такое же сообщение. После обеда он прогулялся и получил от этого больше удовольствия, чем от фильма «Чужой».

В Сиэтле Пендерграфт и Барнс должны были ждать, пока Wana Decrypt0r закончит шифрование большего количества файлов, прежде чем они смогут взаимодействовать с ним.Когда он закончил шифрование, окно теперь запрашивало 300 долларов, хотя они уже отправили 600 долларов. Когда они нажали кнопку «Проверить платеж», они получили то же сообщение, что и Герн: «Вы не заплатили или мы не подтвердили ваш платеж!» Повторите попытку через два часа, лучше всего с 9:00 до 11:00 по Гринвичу.

«Мы одержимо нажимали на эту кнопку первые несколько дней», — сказал Пендерграфт в электронном письме. «Есть также кнопка «Связаться с нами», которая вызывает небольшое диалоговое окно с текстовым полем. За неделю я отправил около 6 или 7 сообщений о том, что мы заплатили и, пожалуйста, помогите нам расшифровать наши файлы.Я упомянул свой адрес электронной почты в одном из них, не зная, как они свяжутся с нами, и я также упомянул, что мы заплатили двойную сумму выкупа».

На следующий день, в понедельник, 15 мая, у Герна оставалось 26 минут, чтобы решить, платить ли выкуп. Через 26 минут цена удвоится до 600 долларов. Последние три дня он мучился над решением. Дело было не столько в деньгах. Если он заплатит и не вернет файлы, он будет чувствовать себя обманутым, заставив пожертвовать деньги преступному предприятию.

«Я боролся. Я очень боролся. Я продолжал спрашивать совета у своей невесты», — сказал он.

«Что мне делать? Я не знаю, что делать. Должен ли я платить?» — спрашивал он свою невесту.

«Я до сих пор не нашел ни одного проверенного источника, который заплатил бы и восстановил файлы», — говорил он.

«Что вы думаете?» — спрашивал он снова.

«Затем, после того, как я спросил ее 10 раз, она сказала, что плати только за тот факт, что я, наконец, оставлю ее в покое», — сказал он.

Когда на часах было три минуты, Герн решил выйти на балкон, чтобы выкурить сигарету.Он беспокоился, что если останется возле компьютера, то сломается под давлением и заплатит выкуп. Когда он вернулся к своему компьютеру, оставалось 30 секунд. Он наблюдал, как часы достигли нуля, а цена выросла до 600 долларов. Затем запустился еще один таймер, дав ему 72 часа, чтобы заплатить более высокую цену. Если бы он этого не сделал, Wana Decrypt0r удалил бы все его файлы.

Он отправил еще одно сообщение через кнопку «связаться с нами», снова пытаясь убедить хакеров, что он заплатил выкуп.

Пендерграфт и его партнер провели понедельник, продолжая отправлять сообщения и нажимая кнопку «проверить платеж», каждый раз получая одно и то же сообщение. «Вы не заплатили или мы не подтвердили ваш платеж!» Ко вторнику на три биткойн-кошелька, которые использовала Wana Decrypt0r, поступило 176 платежей на сумму 200 долларов и более. Одним из них были 600 долларов, которые прислал Пендерграфт, но, тем не менее, его опыт был очень похож на опыт Герна.

— По сути, на данный момент всякая надежда потеряна, — сказал Пендерграфт. «Я потратил много времени на поиск в Интернете других пользователей, которые заплатили выкуп и расшифровали свои файлы.Мне не удалось найти ни одного случая, когда кто-то лично заявлял, что им удалось расшифровать».

«По сути, на данный момент всякая надежда потеряна».

На следующий день Пендерграфт снова нажал кнопку «проверить платеж», и появилось другое сообщение.

«Ваш платеж получен. Начинайте расшифровку прямо сейчас».

Появилось новое окно, и оно начало листать файлы, расшифровывая их все.

Марк Пендерграфт

Wana Decrypt02 2.0 расшифровывает файлы после сообщения о получении платежа.

«Я чуть не закричал от радости, — сказал Пендерграфт.

Вещи в Mead Gilman & Associates наконец могут вернуться в нормальное русло. За исключением тревожного сбоя сервера позже в тот же день, все было хорошо. Но была одна странность в этом испытании, которое продолжало беспокоить Пендерграфта: в своих сообщениях хакерам он никогда не предоставлял доказательств того, что он и Барнс отправили 600 долларов, и хакеры никогда не просили об этом. Как и Герн, все, что они делали, это отправляли сообщения хакерам, утверждая, что они заплатили.

На самом деле, нет четкого способа, чтобы любой, кто заплатил, мог доказать, что он это сделал. Они могли дать хакерам уникальный биткойн-адрес, с которого они отправляли деньги. Но Пендерграфт указал, что даже это было бы бессмысленно, потому что любой мог просмотреть кошельки в Интернете и увидеть адреса, с которых пришел каждый платеж.

«Я не знаю, поверили ли они нам на слово, или они просто случайным образом расшифровали файлы некоторых людей, чтобы стало известно, что оплата вашего выкупа на самом деле привела к расшифровке, или у них были какие-то другие средства обнаружения платежа. — сказал Пендерграфт.«Я несколько раз заходил в контактную форму и заявлял, что мы заплатили, и что я могу это доказать. Но на самом деле я никогда не предоставлял им адрес кошелька, с которого мы платили».

В общей сложности три биткойн-кошелька, использованные при атаке, получили чуть менее 300 платежей на общую сумму 48,86359565 биткойнов по состоянию на вечер субботы , что эквивалентно примерно 101 000 долларов США. Это небольшая сумма для атаки, которая заразила почти 300 000 систем, сделала недоступной медицинскую помощь, закрыла заводы и, в конечном итоге, могла привести к убыткам в миллиарды долларов.

Некоторые объясняют низкую норму прибыли повсеместным распространением облачных сервисов. Кто-то, кто хранит свои самые важные файлы в Dropbox или Google Диске, может просто стереть свой жесткий диск и переустановить свою операционную систему, если его компьютер был заражен. Есть также трудности с использованием биткойнов или ограничение депозита в 500 долларов, как это сделали Пендерграфт и Барнс.

Ну и платежная система, или ее отсутствие. Многие люди, зараженные программами-вымогателями, проведут некоторое исследование, чтобы узнать, получат ли они свои файлы обратно, если заплатят.А в случае с WannaCry хороших новостей было мало. Вот система, которая использует только три биткойн-адреса и, кажется, не в состоянии узнать, заплатил ли кто-то выкуп.

«Это нечто большее, чем кажется на первый взгляд».

Учитывая это, может показаться, что всей операцией руководили любители, новички-хакеры, которые скачали какое-то мощное программное обеспечение, украденное кем-то из АНБ, и провалили самую важную часть операции: зарабатывание денег. Но Радж Самани, инженер по безопасности в McAfee, советует проявлять осторожность в этой оценке.

«Это нечто большее, чем кажется на первый взгляд, — сказал он. «В настоящее время мы анализируем механизм оплаты и считаем, что в этой кампании есть много элементов, которые отклоняются от нашего обычного понимания программ-вымогателей».

В четверг, незадолго до полудня в Кракове, Герн сделал перерыв в работе, чтобы сварить себе кофе. Он до сих пор не заплатил, но продолжал отправлять сообщения через кнопку «связаться с нами» в течение всей недели и привык нажимать кнопку «проверить платеж» каждый день.

«По дороге на кухню за кофе я включил компьютер, — сказал он. «Я вернулся с кофе, нажал кнопку, и вот оно».

«Ваш платеж получен. Начинайте расшифровку прямо сейчас».

Простой анализ вируса-вымогателя wncry

Образец информации

MD5: DB349B97C37D22F5EA1D1841E3C89EB4
SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
CRC32: 9FBB1227
Размер файла: 3723264 байта

Окружающая среда и инструменты

Среда: 32-разрядная профессиональная версия win7
Инструменты: IDA pro, OD, 010Editor, LordPE

Цель анализа

Анализ логики файлов, зараженных программой-вымогателем

Анализ таблицы импорта

Используйте LordPE для просмотра таблицы импорта.
Функции импорта включают API, связанные с операциями с ресурсами, функции динамической загрузки GetProcAddress, API в библиотеке шифрования Microsoft и API, связанные с операциями службы.
предполагает, что образец выпустит файл, использует функции библиотеки шифрования Майкрософт для шифрования файла и создания служб, а также динамически загружает DLL для получения API.

Анализ строки

Файл содержит большое количество строк API, содержит имя файла taskche.exe, содержит URL-адрес и предполагает поведение сетевого подключения.

Посмотреть ресурсы

В ресурсе есть PE-файл. Догадка будет выпущена и выполнена.

Мониторинг поведения меча Tinder

Основное поведение просмотра — выпустить PE-файл taskche.exe и создать его резервную копию, а затем выполнить только эту операцию.

11.exe


Сначала попытайтесь подключиться к URL-адресу и вернитесь напрямую, если соединение установлено успешно, в противном случае выполните sub_408090.

Поведение оценивается по количеству параметров запуска. При наличии параметров уязвимость будет использована для распространения по сети, то есть будет вызвана функция serviceCtrl.
Если параметры отсутствуют, будет вызван sub_407F20.

в основном делает две вещи: одна — создать службу запуска, другая — выпустить PE-файл и выполнить PE-файл.


Видно, что здесь высвобождается средний PE-файл ресурса, имя — taskche.exe, и файл выполняется с параметром «/i».

Кратко опишите основное поведение 11.exe

  1. Попробуйте подключиться к URL-адресу и успешно вернуться. Предположение состоит в том, чтобы предотвратить повторное заражение пользователя после расшифровки.
  2. Если программа запускается с параметрами, сервис создается и распространяется через уязвимости.
  3. При запуске без параметров PE-файл taskche.exe будет выпущен и выполнен с параметрами.

Taskche.exe

Сделайте дамп ресурсов, выпущенных 11.exe, и затем проанализируйте:
Общий процесс выглядит следующим образом:

Подробный процесс выглядит следующим образом:

  1. Оценить, является ли параметр запуска «/i»
  2. Найдите, есть ли папка programData/Intel на диске C, если она есть, создайте случайную папку на основе имени компьютера HASH в папке
  3. Скопировать задачу.exe в случайную папку
  4. Создайте службу и снова запустите taskche.exe. Если начальный параметр равен нулю, последовательность будет выполняться вниз.
    Создать услугу:
  5. Создать раздел реестра
  6. Операция выпуска ресурса, вот сжатый пакет

    Видно, что ресурс содержит много файлов, которые будут выпущены в текущую папку
  7. Записать случайный биткойн-аккаунт на c.wnry
  8. Выполните две команды cmd, чтобы скрыть текущую папку и установить разрешения для текущей папки на полный доступ для всех
  9. Импорт связанных API для последующих файловых операций и операций шифрования и дешифрования
  10. Конструктор создает структуру данных и вызывает функцию sub_401437 для импорта секретного ключа
    Импорт секретного ключа из BLOB по адресу 40EBF8 через CryptImportKey
  11. Расшифровать t.wnry, метод расшифровки — RSA+AES для расшифровки файла

  12. Загрузите dll вручную, просмотрите таблицу экспорта, чтобы получить функцию taskStart


    Поскольку расшифрованные файлы t.wnry не приземлились, файлы были получены через память дампа LordPE для анализа.

Обобщить основное поведение taskche.exe

  1. Резервное копирование файла taskche.exe во вновь созданный случайный каталог
  2. Выпустить большое количество файлов в сжатом пакете в ресурсе
  3. Случайным образом выберите учетную запись Биткойн и запишите ее в поле c.wnry-файл
  4. Используйте метод RSA+AES для расшифровки t.wnry как вредоносной dll, вручную сопоставьте PE-файл, найдите функцию taskStart в таблице экспорта, вызовите ее вручную, и параметр равен (0,0).

дамп.dll

Общий процесс:

Детальный анализ процесса:

  1. Начало — некоторые операции инициализации, в том числе обнаружение нескольких открытых мьютексов, чтение c.wnry для получения учетной записи биткойн, проверка текущих разрешений пользователя, создание паролей и имен файлов ресурсов res, pkey, ekey.И проверьте файл паролей, чтобы предотвратить повторное заражение.
    Разрешения сравниваются следующим образом:
  2. Создайте структуру данных, вызовите importKeyFromMem, чтобы попытаться импортировать секретный ключ через файл секретного ключа, и создайте файл секретного ключа, если он не существует.
  3. Попробуйте прочитать файл ресурсов, создайте его, если он не существует

    Sub_10004420:
  4. Открыть 5 потоков
    1. Тема 1: Используется для обновления метки времени в файле res.
    2. Thread 2: используется для обнаружения файла dkey, предположительно используемого для расшифровки пользователя после оплаты биткойнами.
    3. Поток 3: используется для обнаружения изменений на диске и обхода заражения при обновлении диска

      Sub_10005680:
    4. Поток 4: используется для запуска taskdl.exe
    5. Тема 5: используется для обновления временной метки c.wnry, запуска taskse.exe и @[email protected] и настройки автоматического запуска реестра.

      setAutoRUN:
  5. Sub_100057c0 используется для создания @[email protected], readMe.txt, завершить связанные процессы, пройтись по диску для шифрования файлов и заполнить диск. В основном для операции инициализации потока.

    Как и выше, создайте клиент программы-вымогателя, просмотрите зашифрованные файлы и завершите процесс.

    Перечислить все диски и выполнить сквозное шифрование.
    Для функции шифрования ключей sub_10005540:

    Сначала проверьте, есть ли на диске свободное место, затем проверьте тип диска, а затем вызовите encryptFile для проходного шифрования.
    encryptFile:

    Для fileHandle основная цель состоит в том, чтобы просмотреть файл, поместить его в связанный список, если он соответствует условиям, а затем равномерно зашифровать его:

    Для обхода папки условие фильтра folderFilter выглядит следующим образом:

    Сохраните соответствующие папки в связанном списке.
    При переходе к файлу та же операция, фильтрация по типам файлов, помещается в связанный список.

    Правила getFileType следующие:
  Тип 0: Файл без суффикса
 Тип 1: exe и dll
Тип 2:
".doc" ".docx" ".xls" ".xlsx" ".ppt" ".pptx" ".pst" ".ost"
".msg" ".eml" ".vsd" ".vsdx" ".txt" ".csv" ".rtf" ".123"
".wks" ".wk1" ".pdf" ".dwg" ".onetoc2" ".snt" ".jpeg" ".jpg"
Тип 3:
 ".docb" ".docm" ".dot" ".dotm" ".dotx" ".xlsm" ".xlsb" ".xlw" ".xlt" ".xlm" ".xlc"
 ".xltx" ".xltm" ".pptm" ".pot" ".pps" ".ppsm" ".ppsx" ".ppam" ".potx" ".potm" ".edb"
 ".hwp" ".602" ".sxi" ".sti" ".sldx" ".sldm" ".sldm" ".vdi" ".vmdk" ".vmx" ".gpg" ".aes"
 ".ARC" ".PAQ" ".bz2" ".tbk" ".bak" ".tar" ".tgz" ".gz" ".7z" ".rar" ".zip" ".backup"
 ".iso" ".vcd" ".bmp" ".png" ".gif" ".raw" ".cgm" ".tif" ".tiff" ".nef" ".psd" ".ai"
 ".svg" ".djvu" ".m4u" ".m3u" ".mid" ".wma" ".flv" ".3g2" ".mkv" ".3gp" ".mp4" ".mov"
 ".avi" ".asf" ".mpeg" ".vob" ".mpg" ".wmv" ".fla" ".swf" ".wav" ".mp3" ".sh" ".class"
 ".jar" ".java" ".rb" ".asp" ".php" ".jsp" ".brd" ".sch" ".dch" ".dip" ".pl" ".vb" ". вбс"
 ".ps1" ".bat" ".cmd" ".js" ".asm" ".h" ".pas" ".cpp" ".c" ".cs" ".suo" ".sln" ".ldf"
 ".mdf" ".ibd" ".myi" ".myd" ".frm" ".odb" ".dbf" ".db" ".mdb" ".accdb" ".sql" ".sqlitedb"
 ".sqlite3" ".asc" ".lay6" ".lay" ".mml" ".sxm" ".otg" ".odg" ".uop" ".std" ".sxd" ".otp"
 ".odp" ".wb2" ".slk" ".dif" ".stc" ".sxc" ".ots" ".ods" ".3dm" ".max" ".3ds" ".uot" ". ств"
 ".sxw" ".ott" ".odt" ".pem" ".p12" ".csr" ".crt" ".key" ".pfx" ".der"
Тип 4:.WNCRYT
Тип 5:.WNCYR
Тип 6:.WNCRY
  

Затем зашифруйте файлы в связанном списке

Для sub_10002940:

Для sub_10002200 в основном используется для создания различных суффиксов файлов перед шифрованием в виде зашифрованного файла:

Для cryptFile запустите операцию шифрования реального файла:
Есть два основных метода шифрования для cryptFile, метод 3 и метод 4.
Метод 4:
Файл здесь относится к файлу размером более 1 КБ и менее 200 МБ. Такой файл шифруется только один раз.
Процесс выглядит следующим образом:
1. Открыть файл
2. Получить размер файла
3. Получить время файла.
4. Определить, был ли файл зашифрован (здесь в основном для метода шифрования 3, он будет зашифрован дважды)

5. Создать новый файл.wncryt

6. Выбрать ключ шифрования

7. Записать зашифрованный файл заголовок

8.Прочитайте и зашифруйте файл циклически

9. Измените имя файла

На данный момент процесс шифрования для файлов меньше 200M и больше 1KB завершен
Для файлов больше 200M, он будет зашифрован дважды:
Для первого время на шаге 5, файл будет предварительно обработан, и 0x10000 байт данных в заголовке файла будут добавлены в конец файла, а затем будут добавлены 0x10000 слов в заголовке Раздел очищается, и тогда записывается флаг шифрования

не будет шифровать файл и вернется напрямую.Измените тип файла на 5 и суффикс файла на .WNCYR

Добавьте измененный файл в связанный список для второй обработки и выполните обработку шифрования в соответствии с типом шифрования 4.
До сих пор был подробно описан процесс шифрования файла. проанализировано. Поскольку код очень большой и сложный, я кратко опишу процесс шифрования:

.
  1. Классифицировать разные файлы при обходе
  2. Используйте sub_10002E70, чтобы снова классифицировать файлы и выбрать другие методы шифрования.В основном по размеру файла файл делится на две категории в соответствии с границей 200M. Операция шифрования выполняется дважды.
  3. Файлы размером более 200 МБ будут предварительно обработаны в первую очередь, а заголовок 0x10000 байт будет зарезервирован для записи соответствующих меток, а затем зашифрован в соответствии с методом 4. Файлы размером менее 200 МБ шифруются напрямую с использованием метода 4.
  4. Метод шифрования заключается в использовании cryptGenRandom для создания истинного случайного числа, использовании случайного числа для шифрования расширения AES и использовании зашифрованного секретного ключа для шифрования содержимого файла с помощью AES.Затем сгенерированное случайное число будет зашифровано открытым ключом RSA и записано в файл. Таким образом, жертва практически не может расшифровать его самостоятельно, потому что закрытый ключ находится в руках других людей, и мы не можем угадать 16-байтовое случайное число.
    Далее будут установлены обои, запущен клиент программы-вымогателя, ненужные данные будут пройдены по диску и удалены при перезагрузке.
    Операции по заполнению диска следующие:

Кратко опишите основное поведение дампа.dll

  1. Создание файлов секретных ключей и файлов ресурсов для последующего использования в шифровании
  2. Проверить, существует ли файл секретного ключа для расшифровки dkey, и остановить шифрование, если он существует
  3. Проверьте состояние диска, если диск обновлен, новый диск будет зашифрован
  4. Запустите клиент программы-вымогателя, настройте автоматический запуск реестра
  5. Запустить taskdl.exe для завершения работы
  6. Обход файлов для шифрования файлов указанных типов
  7. Создать временные файлы на всех дисках, циклически записывать данные и заполнять диск
  1. Метод шифрования файла заключается в использовании истинного случайного числа для шифрования и использовании RSA для шифрования случайного числа и сохранения его в файле для расшифровки
  2. Ключ шифрования, используемый в некоторых файлах, может не иметь сохраненного закрытого ключа, то есть его невозможно расшифровать
  3. Передача вируса использует «вечные синие лазейки» для распространения через локальную сеть и внешние сети через порты 139 и 445
  4. Вирус записывает на диск большое количество ненужных данных, которые будут удалены после перезагрузки
  5. Вирус использует реестр и службы для самозапуска
.

Leave a comment