Wanna decryptor (WannaCry) – как защититься от цифровой пандемии. Как распространяется и попадает на компьютер вирус Wanna Cry

WannaCry распространяется через протоколы обмена файлами, установленных на компьютерах компаний и государственных учреждений. Программа-шифровальщик повреждает компьютеры на базе Windows .

Свыше 98% случаев инфицирования вымогательским ПО WannaCry приходятся на компьютеры под управлением Windows 7 , причем более 60% заражений затрагивают 64-разрядную версию ОС. Такие данные обнародовали аналитики «Лаборатории Касперского ». Согласно статистике, менее 1% зараженных компьютеров работают на базе версий Windows Server 2008 R2 и Windows 10 (0,03%).

После проникновения в папку с документами и другими файлами вирус шифрует их, меняя расширения на.WNCRY. Затем вредоносная программа требует купить специальный ключ, стоимость которого составляет от 300 до 600 долларов , угрожая в противном случае удалить файлы.

В целом WannaCry - это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку - кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая .

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям - чем больше компьютеров в сети, тем больше ущерб.

Кроме того, вирусом оказались затронуты компьютеры в , Испании , Италии, Германии , Португалии, Турции, Украине, Казахстане, Индонезии, Вьетнаме, Японии и Филиппинах.

Анализ показал, что практически все сообщения о выкупе были переведены через Google Translate , и только английская и две китайские версии (упрощенная и классическая), вероятно, были написаны носителями языка.

Несмотря на то, что сообщение на английском языке было написано человеком, хорошо владеющим языком, грубая грамматическая ошибка указывает на то, что это не родной язык автора. Flashpoint выяснила, что именно текст на английском стал первоисточником, который впоследствии перевели на остальные языки.

Сообщения о требовании выкупа на китайском языке отличаются от других по содержанию и тону. Кроме того, большое количество уникальных иероглифов свидетельствует о том, что их писал человек, свободно владеющий китайским.

Спустя три месяца после начала атак с использованием вымогательского ПО WannaCry его создатели вывели все имеющиеся в биткойн-кошельках средства - более $142 тыс. Транзакции были замечены ботом издания Quartz. Шифровальщик требовал у своих жертв выкуп в размере $300-$600 в биткойнах. Все полученные деньги распределялись по трем кошелькам. В ночь на 3 августа 2017 года были зафиксированы семь переводов средств, которые были проведены в течение 15 минут. Вероятнее всего, деньги пройдут через цепочку других биткойн-кошельков, чтобы скрыть конечного получателя.

Кто виноват

В.Путин: Спецслужбы США

«Атака без разбору распространялась по всему миру в мае. Оно (вредоносное ПО WannaCry – ред.) шифровало и делало бесполезным сотни тысяч компьютеров в больницах, школах, компаниях и домах. Это было подло, небрежно и причинило большой материальный ущерб. Атака была широко распространенной и стоила миллиарды. Ответственность за нее лежит непосредственно на Северной Корее»,- завил Боссерт .

Как пояснил советник, его заявление не является голословным и основывается на полученных в ходе расследования доказательствах. К выводам о причастности КНДР к атакам WannaCry также пришли спецслужбы и специалисты ряда частных компаний, отметил Боссерт.

По мере того, как цифровые технологии становятся повсеместными, злоумышленники начинают использовать их в своих целях. Атаки в киберпространстве позволяют им оставаться анонимными и заметать свои следы. С помощью кибератак преступники похищают интеллектуальную собственность и причиняют ущерб в каждом секторе, отметил советник.

Распространение в мире

Присутствие на сотнях тысяч компьютеров по всему миру

26 декабря 2018 года стало известно, что спустя 18 месяцев после масштабной эпидемии вымогательского ПО WannaCry, от которого пострадало множество пользователей в более чем 100 странах мира, вредонос все еще присутствует на сотнях тысяч компьютеров , свидетельствуют данные компании Kryptos Logic.

По информации Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю», исходящих от более чем 630 тыс. уникальных -адресов в 194 странах. По числу попыток подключения лидируют Китай , Индонезия , Вьетнам , Индия и Россия . Как и следовало ожидать, в рабочие дни количество попыток возрастает по сравнению с выходными.

Присутствие вымогателя на столь большом количестве компьютеров может обернуться серьезной проблемой – для его активации достаточно одного масштабного сбоя в Сети, подчеркивают специалисты.

Ранее Kryptos Logic представила бесплатный сервис TellTale, позволяющий организациям проводить мониторинг на предмет заражения WannaCry или другими известными угрозами .

Атака на TSMC

Крупнейший в мире производитель чипов TSMC потерял $85 млн из-за вируса WannaCry. Об этом компания сообщила в финансовом отчете, направленном Тайваньской фондовой бирже (Taiwan Stock Exchange, TSE). Подробнее .

Атака на Boeing

Как сообщил пресс-секретарь LG Electronics изданию Korea Herald, попытка вымогателя атаковать компанию провалилась. Незамедлительное отключение сетей сервисных центров позволило избежать шифрования данных и требования выкупа. По данным KISA, киоски были инфицированы WannaCry, однако, каким образом вредонос попал на системы, неизвестно. Возможно, кто-то целенаправленно установил программу на устройства. Не исключено также, что злоумышленники обманным путем заставили кого-то из сотрудников загрузить вредонос.

Атаки на автопроизводителей

Заражение дорожных камер

В июне 2017 года создатели печально-известного вируса-вымогателя WannaCry невольно помогли австралийским водителям избежать штрафов за превышение скорости, сообщает BBC News.

В результате инцидента полиция австралийского штата Виктория отменила 590 штрафов за превышение скорости и проезды на красный сигнал светофора, хотя правоохранители уверяют, что все штрафы были назначены верно.

Исполняющий обязанности заместителя комиссара Росс Гюнтер (Ross Guenther) пояснил, что общественность должна быть полностью уверена в правильности работы системы, поэтому в полиции и приняли такое решение.

Хотя основная волна атак WannaCry пришлась на середину мая 2017 года, шифровальщик продолжает причинять беды еще около двух месяцев. Ранее в американской ИБ-компании KnowBe4 подсчитали, что ущерб от WannaCry лишь за первые четыре дня распространения составил более $1 млрд, включая потери в результате утраты данных, снижения производительности, сбоев в работе бизнеса, а также репутационный вред и другие факторы.

Первая атака на медоборудование

WannaCry стал первым вирусом-шифровальщиком, который атаковал не только персональные компьютеры лечебных учреждений, но и непосредственно медицинскую аппаратуру.

Касперский призывает ввести государственную сертификацию софта для медицинских учреждений

В ходе недавней выставки CeBIT Australia глава производителя антивирусного ПО KasperskyLab Евгений Касперский поделился некоторыми размышлениями, касающимися вируса-вымогателя WannaCry. От действий последнего пострадали сотни тысяч пользователей из 150 стран, пишет издание ZDNet .

Учитывая, что в первую очередь WannaCry поразил сеть медицинских учреждений, их защита является делом первостепенной важности, считает глава антивирусной компании и требует вмешательства государства. «Меня не покидает мысль, что правительствам стоит уделять больше внимания регулированию киберпространства, по крайней мере, это касается критически важной инфраструктуры здравоохранения», - сказал Евгений.

По его мнению, сертификация медицинских учреждений должна включать определённые требования, которые гарантируют защиту ценных данных. Одним из них является получение специальных разрешений, которые удостоверяют, что та или иная клиника обязуется делать резервное копирование данных по графику, а также своевременно производить обновления ОС . Помимо этого государство должно составить перечень обязательных к использованию в секторе здравоохранения систем и приложений (вместе со спецификациями, которые требуются им для безопасного интернет-подключения).

Евгений Касперский считает, что поставляемая производителями медицинского оборудования техника также должна подчиняться требованиям государственных органов. «Производители медтехники выпускают сертифицированную продукцию, которую по условиям контракта нельзя модифицировать. Во многих случаях эти требования не позволяют заменить или обновить ПО в таком оборудовании. Неудивительно, что Windows XP может оставаться непропатченной многие годы, если не навсегда», - говорит эксперт.

Карта распространения и ущерб от вымогателя WannaCry

Американские эксперты оценили ущерб от масштабной хакерской атаки, которая в начале мая 2017 года обрушилась на компьютерные системы госорганов, крупных корпораций и других учреждений в 150 странах мира. Этот ущерб, уверены оценщики KnowBe4, составил $1 млрд. По этим данным, всего WannaCry поразил от 200 тыс. до 300 тыс. компьютеров.

«Предполагаемый ущерб, нанесенный WannaCry за первые четыре дня, превысил $1 млрд, учитывая вызванные этим масштабные простои крупных организаций по всему миру», - заявил глава KnowBe4 Стью Сьюверман. В общую оценку ущерба вошли потеря данных, снижение производительности, простои в работе, судебные издержки, репутационные ущербы и другие факторы.

Данные на 18.05.2017

Распространение в России

Россия вошла в тройку стран по распространению вируса

В конце мая 2017 года компания Kryptos Logic, разрабатывающая решения для обеспечения кибербезопасности, опубликовала исследование, которое показало, что Россия вошла в тройку стран с наибольшим количеством хакерских атак с использованием вируса-вымогателя WannaCry.

Выводы Kryptos Logic основаны на числе запросов к аварийному домену (kill switch), который предотвращает заражение. В период с 12 по 26 мая 2017 года эксперты зафиксировали порядка 14-16 млн запросов.

Диаграмма, отражающая страны с наибольшим распространением вируса WannaCry в первые две недели, данные Kryptos Logic

В первые дни массового распространения WannaCry антивирусные компании сообщали, что большая часть (от 50% до 75%) кибернападений при помощи этого вируса пришлась на Россию . Однако, по данным Kryptos Logic, лидером в этом отношении стал Китай , со стороны которого зафиксировано 6,2 млн запросов к аварийному домену. Показатель по США составил 1,1 млн, по России - 1 млн.

В десятку государств с наибольшей активностью WannaCry также вошли Индия (0,54 млн), Тайвань (0,375 млн), Мексика (0,3 млн), Украина (0,238 млн), Филиппины (0,231 млн), Гонконг (0,192 млн) и Бразилии (0,191 млн).

Глава Минсвязи: WannaCry не поражал российское ПО

Вирус WannaCry не поражал российское программное обеспечение, а находил слабые места в зарубежном ПО, заявил министр связи и массовых коммуникаций РФ Николай Никифоров в программе "Мнение" "Вести.Экономика" в мае 2017 года.

Он признал, что в некоторых госпредприятиях были проблемы из-за этого вируса. Поэтому информационные технологии, работающие в России , должны быть "наши технологии, российские", подчеркнул Никифоров.

"Более того, у нас есть научно-технический потенциал. Мы одна из немногих стран, которая при некоторых усилиях, организационных, финансовых, технических, способна создать весь стек технологий, позволяющих чувствовать себя уверенно", - заявил министр.

"Вирус не поражал отечественное ПО, вирус поражал зарубежное ПО, которое мы массово используем", - подчеркнул он.

Совбез РФ: WannaCry не нанес серьезного ущерба России

В Совбезе РФ оценили ущерб, который вирус WannaCry нанес объектам инфраструктуры России . Как заявил заместитель секретаря Совбеза РФ Олег Храмов, вирус WannaCry не нанес серьезного ущерба объектам критической информационной инфраструктуры России.

К данным объектам относятся информационные системы в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике и других.

Храмов напомнил, что для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента Российской Федерации последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

«Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять масштабному распространению этого вируса», - заявил Олег Храмов .

При этом заместитель секретаря СБ РФ подчеркнул, что подобные угрозы информационной безопасности становятся все более изощренными и масштабными.

Атака на МВД

12 мая 2017 года стало известно об атаке вируса WannaCry на компьютеры Министерства внутренних дел (МВД) России . Зараженными оказались 1% систем ведомства.

Как сообщило РИА Новости со ссылкой на официального представителя МВД РФ Ирину Волк, Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России зафиксировал вирусную атаку на персональные компьютеры ведомства, на которых установлена операционная система Windows .

Министерство внутренних дел России сообщило, что 12 мая его серверы подверглись хакерской атаке

Она также отметила, что WannaCry не смог заразить серверные ресурсы МВД, поскольку они используются другие операционные системы и серверы на российских процессорах «Эльбрус» .

Ряд персональных компьютеров сотрудников ведомства подвергся заражению WannaCry вследствие нарушения сотрудниками правил пользования информационными системами. Причиной инфицирования стали попытки работников МВД подключить служебные компьютеры к интернету «посредством того или иного механизма». Зараженными оказались исключительно персональные компьютеры сотрудников, внутренняя сеть министерства внутренних дел защищена от внешнего воздействия.

Атака на «большую тройку»

В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 - в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization - «рандомизация размещения адресного пространства»).

Вирусы Adylkuzz и Uiwix

Исследователи отмечают, что Adylkuzz начал атаки раньше WannaCry - как минимум 2 мая, а возможно и 24 апреля. Вирус не привлек к себе так много внимания, потому что заметить его гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как вирус оттягивает на себя ресурсы системы.

При этом Adylkuzz защитил пострадавших от него пользователей от атак WannaCry, так как закрыл собой брешь в Windows и не позволил другому вирусу ей воспользоваться.

Кроме того, после WannaCry появился еще один шифровальщик - Uiwix, который также использует нашумевшую уязвимость в Windows. Об этом заявили специалисты компании Heimdal Security.

Uiwix, в отличи от многочисленных подражателей WannaCry, действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», поэтому невозможно остановить его распространение, зарегистрировав определенный домен.

Данный вирус шифрует данные жертв и требует выкуп в размере 0.11943 биткоина (порядка 215 долларов по текущему курсу).

Попытки наживаться на WannaCry от создателей других вирусов

В июне 2017 года исследователи из компании RiskIQ обнаружили сотни мобильных приложений, выдающих себя за средства защиты от шифровальщика WannaCry, на деле оказываясь в лучшем случае бесполезными, в худшем - вредоносными. Подобные приложения являются частью более масштабной проблемы - фальшивых мобильных антивирусов. Подробнее .

Ошибки в коде WannaCry

Код WannaCry был полон ошибок и имел очень низкое качество. До такой степени низкое, что некоторые жертвы могут восстановить доступ к своим оригинальным файлам даже после того, как те были зашифрованы.

Анализ WannaCry, проведенный исследователями из специализирующейся на безопасности «Лаборатории Касперского », выявил, что большинство ошибок означает, что файлы могут быть восстановлены с помощью общедоступных программных инструментов или даже простых команд .

В одном случае ошибка WannaCry в механизме обработки файлов только для чтения означает, что он вообще не может шифровать такие файлы. Вместо этого вымогатель создает зашифрованные копии файлов жертвы. При этом оригинальные файлы остаются неприкосновенными, но помечаются как скрытые. Это означает, что файлы легко вернуть, просто сняв атрибут «скрытый».

Это не единственный пример плохого кодирования WannaCry. Если вымогатель проникает в систему, файлы, которые его разработчики не считают важными, перемещаются во временную папку. В этих файлах содержатся оригинальные данные, которые не перезаписываются, а лишь удаляются с диска. Это означает, что их можно вернуть, используя ПО для восстановления данных. К сожалению, если файлы находятся в «важной» папке, такой как Документы или Рабочий стол, WannaCry запишет поверх оригинальных файлов случайные данные, и в этом случае их восстановление будет невозможным.

Тем не менее, множество ошибок в коде дает надежду пострадавшим, поскольку любительский характер вымогателя предоставляет широкие возможности для восстановления, по крайней мере, файлов.

«Если вы были заражены вымогателем WannaCry, велика вероятность, что вы сможете восстановить многие файлы на своем пострадавшем компьютере. Мы рекомендуем частным лицам и организациям использовать утилиты восстановления файлов на пострадавших машинах в своей сети», - сказал Антон Иванов, исследователь безопасности из «Лаборатории Касперского».

Уже не первый раз WannaCry характеризуется как некая любительская форма вымогателя. А тот факт, что за три недели после атаки лишь мизерная доля зараженных жертв выплатила в общей сложности 120 тыс. долл. в биткоинах в виде выкупа, позволяет утверждать, что вымогатель, хотя и вызвал массовый переполох, не сумел получить больших денег, что является конечной целью программ-вымогателей.

Инструмент для удаления WannaCry

Как обезопасить свой компьютер от заражения?

• Установите все обновления Microsoft Windows .
• Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
• Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP , Windows 8 и Windows Server 2003 .
• Используйте сервисы для доступа к информации о новейших угрозах.
• При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

Если компьютер с операционной системой Windows не перезагружался, то данные да нем можно сохранить минуя выкуп, требуемый вирусом WannaCry. Ключ к решению содержится в самой операционной системе, — заявляют специалист по интернет-безопасности Quarkslab Адриен Гине, всемирно известный хакер Мэтт Сюиш и фрилансер Бенжамен Дельпи. Сама система предотвращает уничтожение файлов по истечению срока, назначенного для уплаты выкупа. Этот метод используется во всех версиях Windows. Новый инструмент для сохранения данных специалисты назвали Wanakiwi . В своем блоге Мэтт Сюиш опубликовал подробности применения открытого способа борьбы с вирусом, описав все технические детали.

Не все файлы не восстанавливаются

Это объясняет, почему были утверждения, что некоторые инструменты доступны для расшифровки всех файлов, заблокированных WannaCry. К сожалению, из нашего анализа того, как работает это вымогательство, кажется, что только несколько файлов, зашифрованных демо-ключом, могут быть расшифрованы инструментом.

Но может быть какая-то надежда. Файлы, хранящиеся на Рабочем столе, Моих документах или на любых съемных дисках компьютера во время заражения, перезаписываются случайно сгенерированными данными и удаляются. Это означает, что восстановить их с помощью средства восстановления файлов или восстановления диска невозможно.

Однако из-за возможных слабых мест в вредоносном ПО можно восстановить другие зашифрованные файлы в системе, когда они были сохранены за пределами этих трех местоположений, используя средство восстановления диска, так как большинство файлов перемещаются во временную папку и Затем, как правило, удаляется, но не перезаписывается с помощью очистителя. Однако коэффициент восстановления может отличаться в разных системах, поскольку удаленный файл может быть перезаписан другими операциями с дисками.

Короче говоря, можно восстановить некоторые файлы, которые были зашифрованы с помощью WannaCrypt, но не заплатили выкуп, однако восстановление всех файлов без резервного копирования в настоящее время представляется невозможным.

В качестве примечания по безопасности, будьте осторожны с любыми сервисами, предлагающими расшифровать все файлы и т. Д., Так как эти расшифровщики вполне могут быть скрыты вредоносными программами.

Мы проверили восстановление файлов с помощью средства восстановления диска Disk Drill , на скриншоте ниже показаны удаленные файлы, которые были обнаружены и восстановлены с помощью этого инструмента:

Иногда создатели программ-вымогателей допускают ошибки в коде. Эти ошибки могут помочь пострадавшим вновь получить доступ к своим файлам после заражения. В нашей статье кратко описываются несколько ошибок, допущенных разработчиками вымогателя WannaCry.

Ошибки в логике удаления файла

Когда Wannacry шифрует файлы на компьютере жертвы, он читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования он перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. Логика этого удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

При расположении файлов на системном диске:

Если файл находится в «важной» папке (с точки зрения разработчиков вымогателя, например на рабочем столе или в папке «Документы»), то перед его удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

Если файл хранится вне «важных» папок, то оригинальный файл будет перемещен в папку %TEMP%\%d.WNCRYT (где %d – это числовое значение). Такой файл содержит первоначальные данные, поверх которых ничего не пишется, – он просто удаляется с диска. Поэтому существует высокая вероятность, что его можно будет восстановить при помощи программ восстановления данных.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

При расположении файлов на прочих (несистемных) дисках:

• Вымогатель создает папку «$RECYCLE» и задает ей атрибуты «скрытая» и «системная». В результате папка становится невидимой в Проводнике Windows, если конфигурация Проводника задана по умолчанию. По плану оригинальные файлы после шифрования будут перемещены в эту папку.

Процедура, определяющая временную директорию для хранения оригинальных файлов перед удалением

• Однако из-за ошибок синхронизации в коде вымогателя оригинальные файлы во многих случаях остаются в той же директории и не перемещаются в папку $RECYCLE.
• Оригинальные файлы удаляются небезопасно. Этот факт делает возможным восстановление удаленных файлов при помощи программ восстановления данных.

Оригинальные файлы, которые можно восстановить с несистемного диска

Процедура, генерирующая временный путь для оригинального файла

Участок кода, вызывающий описанные выше процедуры

Ошибка обработки файлов с защитой от записи

Анализируя WannaCry, мы также обнаружили, что в вымогателе допущена ошибка в обработке файлов с защитой от записи. Если на зараженном компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригинальные файлы только получат атрибут «скрытый». В таком случае их легко найти и восстановить их нормальные атрибуты.

Оригинальные файлы с защитой от записи не зашифровываются и никуда не перемещаются

Выводы

В результате проведенного нами глубокого исследования данного вымогателя становится понятно, что его разработчики допустили множество ошибок, а качество кода довольно низкое, как мы отметили выше.

Если ваш компьютер был заражен вымогателем WannaCry, существует большая вероятность, что вы сможете восстановить многие из зашифрованных файлов. Для этого можно воспользоваться бесплатными утилитами для восстановления файлов.

WannaCry вирус — это программа-вымогатель, которая использует EternalBlue эксплойт для заражения компьютеров, работающих под управлением операционной системы Microsoft Windows. Вымогатель также известен как WannaCrypt0r , WannaCryptor , WCry , и Wana Decrypt0r . Как только он попадает на целевой компьютер, он быстро шифрует все файлы и помечает их одним из следующих расширений: .wcry , .wncryt и .wncry .

Вирус делает данные бесполезными с помощью сильного шифрования, меняет обои для рабочего стола, создает записку о выкупе “Please Read Me!.txt” а затем запускает окно программы под названием “WannaDecrypt0r”, которое сообщает, что файлы на компьютере были зашифрованы. Вредоносная программа призывает жертву выплатить выкуп в размере от $300 до $600 в биткоинах и обещает удалить все файлы, если жертва не заплатит деньги в течении 7 дней.

Вредоносная программа удаляет теневые копии, чтобы предотвратить восстановление зашифрованных данных. Кроме того, вымогатель действует как червь, потому что как только он попадает на целевой компьютер, он начинает искать другие компьютеры, которые можно заразить.

Несмотря на то, что вирус обещает восстановить ваши файлы после оплаты, нет оснований доверять преступникам. Команда сайт рекомендует удалять вымогатели в безопасном режиме с помощью драйверов сети, используя программы защиты от вредоносных программ, такие как .

Киберпреступники использовали этого вымогателя в массовой кибер-атаке, которая была запущена в пятницу, 12 мая 2017 года. Согласно последним сообщениям, злоумышленная атака успешно затронула больше 230 000 компьютеров в более чем 150 странах.

Воздействие кибератаки ужасно, так как вирус нацелен на организации из разных секторов, здравоохранение, похоже, страдает больше всего. Из-за нападения были приостановлены различные больничные услуги, например, были отменены сотни операций. Согласно сообщениям, первыми крупными компаниями, пострадавшими от этого выкупа, были Telefonica, Gas Natural и Iberdrola.

Некоторые из затронутых компаний имели резервные копии данных, в то время как другие сталкивались с трагическими последствиями. Без исключения, всем жертвам рекомендуется как можно скорее удалить WannaCry, так как это может помочь предотвратить дальнейшее распространение вымогателя.

WannaCry распространяется, используя EternalBlue эксплойт

Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.

Атака EternalBlue нацелена на Windows CVE-2017-0145 уязвимость в Microsoft протоколе SMB (Server Message Block). Уязвимость уже исправлена, сообщается в бюллетене по безопасности Microsoft MS17-010 (выпущенном 14 мая 2017 г.). Эксплойт-код, используемый исполнителями, предназначался для заражения устаревших систем Windows 7 и Windows Server 2008, но, по сообщениям, пользователи Windows 10 не могут быть затронуты этим вирусом.

Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:

1. Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
2. Следите за обновлениями остальных компьютерных программ.
3. Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами.
4. Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса.
5. Отключите SMBv1, используя инструкции, предоставленные Microsoft.

Исследователь демонстрирует скриншоты, сделанные во время WannaCry атаки. Вы можете видеть Wanna Decrypt0r окно также, как и изображение, установленное WannaCry в качестве фона рабочего стола после заражения системы и шифрования всех файлов на ней.
Метод 1. (Безопасный режим)
Выберите "Safe Mode with Networking" Метод 1. (Безопасный режим)
Выберите "Enable Safe Mode with Networking"

Выберите "Safe Mode with Command Prompt" Метод 2. (Системное восстановление)
Выберите "Enable Safe Mode with Command Prompt"
Метод 2. (Системное восстановление)
Введите "cd restore" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
Введите "rstrui.exe" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
В появившемся окне "System Restore" выберите "Next"
Метод 2. (Системное восстановление)
Выберите Вашу точку восстановления и щелкните "Next"
Метод 2. (Системное восстановление)
Щелкните "Yes" и начните восстановление системы ⇦ ⇨

Слайд 1 из 10

Версии WannaCry

Вирус использует криптографический шифр AES-128 для надежной блокировки файлов, добавляет файл расширение.wcry к их именам и просит передать 0,1 биткойн в предоставленный виртуальный кошелек. Первоначально вредоносное ПО распространялось через спам письма электронной почты; Однако, конкретно этот вирус не принес много доходов для его разработчиков. Несмотря на то, что файлы, зашифрованные этим вымогателем, оказались невосстанавливаемыми без ключа дешифрования, разработчики решили обновить вредоносную программу.

Вирус-вымогатель WannaCrypt0r . Это еще одно название обновленной версии вымогателя. Новая версия выбирает уязвимости Windows как основной вектор атаки и зашифровывает все файлы, хранящиеся в системе за считанные секунды. Зараженные файлы могут быть распознаны через расширения, добавленные к имени файла сразу после оригинального имени файла — .wncry, wncryt или.wcry.

Невозможно восстановить поврежденные данные без резервных копий или закрытого ключа, созданного во время процесса шифрования данных. Обычно вирус требует $300, хотя он повышает цену выкупа $600, если жертва не заплатит деньги в течение трех дней.

Вирус-вымогательWannaDecrypt0r . WannaDecrypt0r — это программа, которую вирус запускает после успешного проникновения в целевую систему. Исследователи уже заметили версии Wanna Decryptor 1.0 и Wanna Decryptor 2.0, приближающиеся к жертвам.

Вредоносная программа отображает часы с обратным отсчетом, показывающие, сколько времени осталось, чтобы заплатить выкуп до тех пор, пока цена его не достигнет максимума, а также идентичные часы обратного отсчета, показывающие, сколько времени осталось до тех пор, пока вирус не удалит все данные с компьютера. Эта версия потрясла виртуальное сообщество 12 мая 2017 года, хотя спустя несколько дней его остановил исследователь безопасности, который носит имя MalwareTech.

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

WannaCry – что это такое и как от него защититься

Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.

Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.

Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows, которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.

Вирус работает по следующей схеме — вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.

Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.

Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года .

Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система. Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.

Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб. Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую — избавиться от Wanna Decryptor не так просто.

Один из самых простых способов вылечить вирус – это просто переустановить систему. При этом, вы потеряете не только те данные, которые были на диске с установленной системой. Ведь для полного выздоровления нужно будет провести форматирование всего жесткого диска. Если вы не готовы на такие кардинальные шаги, то можно попробовать вылечить систему вручную:

1. Скачайте обновление для системы, о котором писалось выше в статье.
2. Далее отключаемся от интернета
3. Запускаем командную строку cmd и блокируем 445 порт, по которому вирус проникает на компьютер. Делается это следующей командой:
   netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
4. Далее запускаем систему в безопасном режиме. При загрузке удерживаем F8, система сама спросит вас, как именно запустить компьютер. Нужно выбрать «Безопасный режим».
5. Находим и удаляем папку с вирусом, найти ее можно кликнув по ярлыку вируса и нажав «Расположение файла».
6. Перезапускаем компьютер в обычном режиме и устанавливаем обновление для системы которое мы скачали, включаем интернет и устанавливаем его.

Wanna cry – как расшифровать файлы

Если вы полностью избавились ото всех проявлений вируса, то самое время заняться расшифровкой данных. И, если вы думаете, что самое сложное позади, то вы сильно ошибаетесь. В истории даже зарегистрирован случай, когда сами создатели шифровальщика не смогли помочь пользователю, который им заплатил и отправили его в службу технической поддержки антивируса.

Оптимальный вариант – это удалить все данные и . Вот только, если такой копии нет, то придется покорпеть. А помогут вам программы дешифровщики. Правда, ни одна программа не может гарантировать стопроцентный результат.

Существует несколько простых программ, которые могут справиться с расшифровкой данных — например Shadow Explorer или Windows Data recovery. Так же стоит заглянуть в лабораторию Касперского, который периодически выпускает декрипторы — http://support.kaspersky.ru/viruses/utility

Очень важно! Запускайте программы декрипторы только после того, как удалили все проявления вируса, иначе рискуете навредить системе или потерять данные снова.

Wanna decryptor показал, насколько хрупкой может быть система безопасности любого крупного предприятия или даже государственного учреждения. Так что май месяц стал показательным для многих стран. Кстати, в МВД России пострадали только те машины, которые использовали Windows, а вот те компьютеры, на которых стояла операционная система российской разработки Эльбрус не пострадали.

А какие способы лечения Wanna decryptor помогли вам? Напишите комментарий к этой статье и поделитесь с другими.

Подпишись на новые статьи, что бы не пропустить!

Да, этот вирус прокричал на весь мир 12 мая очень громко. Wanna Cry оказался не тем вирусом, который тихо и спокойно распространяется себе по миру от компьютера к компьютеру, с которым постепенно обучаются работать антивирусы и который со временем становится одним из фигурантов таблицы распознаваемых вирусов.

Нет, здесь всё гораздо сложнее. Вирус буквально в несколько часов распространился по всему миру. Особенно пострадали Россия и Китай, какое-то время держалась Австралия, но и она угодила в эту «яму».

Дело дошло до выступлений ведущих политиков мира. Громогласное заявление сделал и один из руководителей Microsoft, прямо обвинивший спецслужбы США в безответственном поведении. Дело в том, что, оказывается, американское ФБР в течение последних нескольких лет вело исследования системы Windows на наличие всевозможных недоработок и лазеек. Для своих целей, конечно. И лазейки были найдены – в Microsoft тоже работают не боги, им тоже свойственно ошибаться.

Проблема только в том, что каким-то образом изыскания сыщиков США вдруг стали известны всему компьютерному миру, вернее тому, кто нашёл возможность на них поживиться.

Собственно говоря, способ распространения вируса Wanna Cry традиционен:

Может запускаться wannacry и через незнакомые exe- или js-файлы, заражение, возможно, происходит и через графический файл (а что может быть заманчивее, чем sexy-картинка).

Известны случаи, когда инфицирование произошло просто потому, что компьютер был в сети. Не обходит он своим внимание и облачные технологии – полностью оказались посрамлены её проповедники, они не так уж и защищены, как об этом нам постоянно говорится. В общем, при первом взгляде на складывающуюся ситуацию – край, из которого нет выхода, спереди стена, а назад некуда.

Сначала создавалось впечатление, что объектом внимания вируса становится только системный диск “C:” . Но по мере развития ситуации оказалось, что вирус распространился и на съёмные диски, что неожиданно – на Windows 10. Про флешки и говорить не приходится, они просто «горят, как свечки».

Как проявляется

Вирус шифровальщик wanna cry, заразивший ПК , проявляет себя следующим образом:

Во-первых, подвергшийся атаке файл получает новое расширение – «.wncry».

Во-вторых, первые восемь символов в имени файла дополняются строкой «wanacry!».

В-третьих, и это самое главное, вирус шифрует содержимое файла, причём таким образом, что вылечить его не представляется возможным, по крайней мере, за приемлемый отрезок времени. А он оказался достаточен, чтобы создать проблемы в работе медиков в Великобритании, полиции в России, управленцев электронных заводов в Китае.

В-четвёртых, а это уже просто банально и пройдено не одну сотню раз «пацанами» от программирования – они требуют за то, чтобы восстановить файлы, от 300 до 500 долларов, которые нужно перечислить с использованием BitCoin. Говорят, человек 100 всё-таки это сделали, капля в море относительно общей массы требующих лечения, вероятно, умышленники зла рассчитывали на гораздо большее.

Всё, что необходимо делать, вирус вам сообщает в отдельном окне под звучным заголовком «Ooops, your files have been encrypted!». Причём, эти горе-разработчики позаботились об услуге локализации: текст для немцев – на немецком, для новозеландцев – на английском, русские же читали его на русском. Уже только по построению фраз опытные лингвисты могут определить, откуда родом эти кибербандиты.

Для решения задачи, как восстановить информацию касперский или тем более любой из известных шифровальщиков не подойдут. Избавиться от вируса простым удалением файла тоже не срабатывает.

Что делать в первые моменты

Как только появилось подозрение, что wannacry, через Брисбен и Калькутту, пришёл и к вам на улицу Лизюкова, ещё до, собственно, лечения, сделайте следующее:

Что делать всегда, пока не клюнул

И снова вспомните о тех операциях, о которых вам постоянно талдычит системщик:

1. Постоянно следите за последними обновлениями используемого программного обеспечения, системы, в первую очередь, и устанавливайте на своём ноутбуке. Кстати, Microsoft очень оперативно предложило метод, как лечить wanna cry – скачать и поставить последнюю версию системы Windows 10 с оперативно сделанными изменениями. Пусть подробного описания вируса wanna cry, это, скорее, к разработчикам антивирусов, пока и нет, пусть ещё непонятно, как расшифровать файлы, но в Пало-Альто очень оперативно внедрили заплатки в свои программные продукты.
2. Постоянно создавайте резервные копии своей самой важной информации. Должно стать за правило таким образом бороться с вирусами – каждый вторник и пятницу, ровно в 15:00, все текущие работы прекращаются и создаются резервные копии. Если такое правило не завести, то завтра плакать уже придётся о потерянных 100 миллионах прибыли и думать, как удалить вирус, не по поводу wanna cry, а по поводу Market Applause или чего-либо другого.
3. Если не работаете в сети, то отключайтесь от неё, ведь, что греха таить, мы постоянно подключены к скайпу, к «контактам», просто по привычке, а вдруг кто-нибудь да позвонит. Не забывайте отменять активацию .

Да, wanna cry не сделал ничего нового – всё то же желание денег, всё то же желание прославиться (хотя слава-то дальше «кухни» не уйдёт), всё та же игра на беспечности и раздрая в мире, от ФБР и Госдепа США до плохо организованной работе с резервным копированием и защитой информации.