Мощнейшая атака вирусом Wana Decryptor началась вчера 12 мая 2017 года, тысячи компьютеров были поражены по всему миру. За несколько часов в мир насчитывалось 45000 зараженных компьютеров, это цифра росла каждую минуту.

Наиболее пострадавшей страной оказалась Россия, по сей день вирусная атака продолжается и сейчас хакеры пытаются захватить банковский сектор. Вчера главная атака пришлась на компьютеры обыкновенных пользователей и сеть МВД России.

Программа шифрует доступ к различным файлам на вашем компьютере и предлагает получить к ним доступ лишь после оплаты биткоинами. Таким образом хакеры могут миллионы долларов. Расшифровать WNCRY файлы пока нет возможности, но можно восстановить зашифрованные файлы с помощью программ ShadowExplorer и PhotoRec, но гарантий дать никто не может.

Часто этот вирус шифровальщик называют Wana Decryptor, однако, у него есть также и другие названия WanaCrypt0r, Wanna Cry или Wana Decrypt0r. До этого у основного вируса был шифровальщик младший брат Wanna Cry и WanaCrypt0r. Позже цифру «0» заменили на букву «o», а основной вирус стал называться Wana Decrypt0r.

В конце к зашифрованному файлу вирус добавляет расширение WNCRY, иногда по этой аббревиатуре его и называют.

Как Wana Decryptor заражает компьютер?

Компьютеры под управлением операционной системы Windows имеют в себе уязвимость в службе SMB. Данная дырка имеет во всех операционной системы Windows версии 7 до Windows 10. В марте корпорация выпустила патч-обновление «MS17-010: Обновление безопасности для Windows SMB Server», однако, по количеству зараженных компьютеров видно, что многие проигнорировали данное обновление.

В конце своей работы вирус Wana Decryptor попытается удалить все копии файлов и другие быкапы системы, чтобы в случае чего ее нельзя было восстановить. Для этого он запросит у пользователя права администратора, операционная система Windows покажет предупреждение от службы UAC. Если пользователь откажется предоставлять полные права, тогда копии файлов останутся на компьютере и пользователь сможет их восстановить абсолютно бесплатно.

Как восстановить зашифрованные Wana Decryptor файлы и защитить компьютер?

Единственной возможностью восстановить файлы, которые были зашифрованы вирусом – это использовать программы ShadowExplorer и PhotoRec. Как происходит восстановление зашифрованных файлов читайте в руководстве к этим программам.

Чтобы предотвратить заражение компьютера вирусом-шифровальщиком WNCRY нужно закрыть все уязвимости в системе. Для этого скачайте обновление MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

Кроме этого не забывайте устанавливать на компьютера антивирус Zemana Anti-malware или Malwarebytes, в платной полной версии они обеспечат блокировку запуска вирусов шифровальщиков.

Недавно в центре интернета-безопасности 360 был обнаружен новый вид вируса –вымогателя, предназначенный как для предприятий, так и для частных лиц во многих странах и регионах. 360 выпустили своевременное предупреждение аварийной ситуации 12 мая после обнаружения, чтобы напомнить пользователям о предстоящих рисках. Эта вырус-вымогатель распространяется с высокой скоростью по всему миру. По неполным статистическим данным, всего за несколько часов после взрыва были заражены десятки тысяч устройств в 99 странах, и данный сетевой Червь все еще пытается расширить свое влияние.

Как правило, вирус-вымогатель- это вредоносная программа с явным намерением вымогательства. Он шифрует файлы жертвы с помощью асимметричного криптографического алгоритма, делает их недоступными и требует выкуп за их дешифрование. Если выкуп не выплачен, файлы не могут быть восстановлены. Этот новый вид известный под кодовым названием WanaCrypt0r. Что делает его настолько смертельным, что он использовал хакерский инструмент «EternalBLue», который был украден у АНБ. Это также объясняет, почему WanaCrypt0r способна быстро распространяться по всему миру и причинила большие потери за очень короткое время. После прорыва сетевого Черви 12 мая отдел Core Security в центре интернета-безопасности 360 провело тщательный мониторинг и глубокий анализ. Теперь мы можем выпустить набор средств обнаружения, решения защиты и восстановления данных против WanaCrypt0r.

360 Helios Team — команда APT (Advanced Persistent Attack), занимающаяся исследованиями и анализом отдела Core Security, в основном посвященная расследованию атаки APT и реагированию на инциденты угроз. Исследователи безопасности тщательно анализировали механизм вирусов, чтобы найти наиболее эффективный и точный метод восстановления зашифрованных файлов. Используя этот метод, 360 может стать первым поставщиком безопасности, который выпускает инструмент восстановления данных — «360 Ransomware Infected File Recovery», чтобы помочь своим клиентам быстро и полностью восстановить зараженные файлы. Мы надеемся, что эта статья поможет вам разобраться в трюках этого червя, а также в более широком обсуждении вопроса о восстановлении зашифрованных файлов.

Глава 2 Анализ основных процессов шифрования

Этот Червь выдает модуль шифрования в память и напрямую загружает DLL в память. Затем DLL экспортирует функцию TaskStart, которая должна использоваться для активации целого процесса шифрования. DLL динамически получает доступ к файловой системе и функциям API, связанным с шифрованием, чтобы избежать статического обнаружения.

1.Начальная стадия

Сначала он использует «SHGetFolderPathW», чтобы получить пути к папкам рабочего стола и файла. Затем он вызовет функцию «10004A40», чтобы получить путь к рабочим столам других пользователей и папкам с файлами и вызвать функцию EncrytFolder для шифрования папок отдельно.

Он проходит все диски дважды от драйвера Z до C. Первое сканирование — запуск всех локальных дисков (за исключением драйвера-CD). Во втором сканировании проверяет все мобильные накопители и вызывает функцию EncrytFolder для шифрования файлов.

2.Файловый траверс

Функция «EncryptFolder» является рекурсивной функцией, которая может собирать информацию о файлах, следуя приведенной ниже процедуре:

Удалите пути или папки с файлами во время поперечного процесса:

Есть интересная папка с названием «Эта папка защищает от вируса-вымогателя. Изменение его уменьшит защиту «. Когда вы это сделаете, вы обнаружите, что он соответствует папке защиты программного обеспечения для защиты от вируса-вымогателя.

При обходе файлов вирус-вымогатель собирают информацию о файле, такую как размер файлов, а затем классифицируют файлы на разные типы в соответствии с их расширением, следуя определенным правилам:

Список типов расширений 1:

Список типов расширений 2:

3.Приоритет шифрования

Чтобы зашифровать важные файлы как можно быстрее, WanaCrypt0r разработал сложную очередь приоритетов:

Очередь приоритетов:

I.Шифруйте файлы типа 2, которые также соответствуют списку расширений 1. Если файл меньше 0X400, приоритет шифрования будет снижен.
II. Шифруйте файлы типа 3, которые также соответствуют списку расширений 2. Если файл меньше 0X400, приоритет шифрования будет снижен.
III. Шифруйте остальные файлы (меньше 0х400) и другие файлы.

4.Логика шифрования

Весь процесс шифрования завершается с использованием как RSA, так и AES. Хотя в процессе шифрования RSA используется Microsoft CryptAPI, код AES статически компилируется в DLL. Процесс шифрования показан на рисунке ниже:

Список используемых ключей:

Формат файла после шифрования:

Обратите внимание, что во время процесса шифрования вирус-вымогатель будет случайным образом выбирать некоторые файлы для шифрования, используя встроенный открытый ключ RSA, чтобы предложить несколько файлов, которые жертвы могут расшифровать бесплатно.

Путь к свободным файлам может найдена в файле «f.wnry».

5.Заполнение случайных чисел

После шифрования WanaCrypt0r будет заполнять файлы, которые он сочтет важными со случайными числами, пока полностью не разрушит файл, а затем переместите файлы во временный каталог файлов для удаления. Делая это, он делает это довольно трудным для инструментов восстановления файлов для восстановления файлов.В то же время он может ускорить процесс шифрования.

Заполненные файлы должны соответствовать следующим требованиям:

— В указанном каталоге (рабочий стол, мой документ, папка пользователя)

— Файл меньше 200 МБ

— Расширение файла находится в списке типов расширений 1

Логика заполнения файла:

— Если файл меньше 0x400, он будет покрыт случайными числами одинаковой длины

— Если файл больше 0x400, последний 0x400 будет покрыт случайными числами

— Переместите указатель файла на заголовок файла и установите 0x40000 в качестве блока данных, чтобы покрыть файл случайными числами до конца.

6.Удаление файлов

WanaCrypt0r сначала переместит файлы во временную папку для создания временного файла, а затем удалит его различными способами.

Когда он проедет диски для шифрования файлов, он создаст временный файл с именем в формате «$ RECYCLE + auto increment + .WNCYRT» (например: «D: \ $ RECYCLE \ 1.WNCRYT») на текущем диске. Особенно, если текущий диск является системным (например, драйвер-C), он будет использовать временный каталог системы.

Впоследствии процесс запускает taskdl.exe и удаляет временные файлы с фиксированным интервалом времени.

Глава 3 Возможность восстановления данных

В анализе логики его выполнения мы заметили, что этот Червь перезапишет файлы, удовлетворяющие заданным требованиям, случайными числами или 0x55, чтобы уничтожить файловые структуры и предотвратить их восстановление. Но эта операция принимается только для определенных файлов или файлов с определенным расширением. Это означает, что есть еще много файлов, которые не были переписаны, что оставляет место для восстановления файлов.

В процессе удаления червь перемещал исходные файлы во временную папку файлов, вызывая функцию MoveFileEx. В конце концов временные файлы удаляются массово. Во время вышеописанного процесса исходные файлы могут быть изменены, но текущее программное обеспечение восстановления данных на рынке не знает об этом, так что довольно много файлов не может быть восстановлено успешно. Потребности в файлах для восстановления жертв почти не реализоваться.

Для других файлов червь просто выполнил команду «move & delete». Поскольку процессы удаления файлов и перемещения файлов разделены, эти два потока будут конкурировать друг с другом, что может привести к сбою при перемещении файлов из-за различий в системной среде пользователя. В результате файл будет удален непосредственно в текущем местоположении. В этом случае существует большая вероятность того, что файл может быть восстановлен.

https://360totalsecurity.com/s/ransomrecovery/

Используя наши методы восстановления, большой процент зашифрованных файлов может быть прекрасно восстановлен. Теперь обновленная версия 360 инструмента восстановления файлов была разработана в ответ на эту потребность, чтобы помочь десяткам тысяч жертв смягчить потери и последствия.

14 мая, 360 — первый поставщик безопасности, выпустивший инструмент восстановления файлов, которое спас много файлов от вируса-вымогателя. Эта новая версия сделала еще один шаг в использовании логических уязвимостей WanaCrypt0r. Он может удалить вирус, чтобы предотвратить дальнейшее заражение. Используя несколько алгоритмов, он может найти скрытые связи между бесплатными восстанавливаемыми файлами и расшифрованнымифайлами для клиентов. Эта универсальная служба восстановления может уменьшить ущерб от атаки вируса-вымогателя и защитить безопасность данных пользователей.

Глава 4 Заключение

Массовая вспышка и распространение Черви WannaCry с помощью использования MS17-010,что делает его способным к саморепликации и активному распространению, помимо функций общей вымогателя. Если не учитывать полезную нагрузку атаки, техническая структура вируса-вымогателя играет самую важную роль в атаках.Вирус-вымогателя шифрует ключ AES с помощью асимметричного криптографического алгоритма RSA-2048. Затем каждый файл зашифровывается с помощью случайного AES-128 алгоритма симметричного шифрования. Это означает,полагаясь на существующие вычисления и методы, что расшифровать RSA-2048 и AES-128 без каких-либо открытых или закрытых ключей почти невозможно. Однако авторы оставляют некоторые ошибки в процессе шифрования, что обеспечивает и увеличивает возможность восстановления. Если действия выполняются достаточно быстро, большинство данных можно сохранить обратно.

Кроме того, поскольку деньги на выкуп выплачиваются в анонимных биткойнах, для которых кто-либо может получить адрес без подлинной сертификации, невозможно идентифицировать злоумышленника по адресам, не говоря уже о том, что между различными учетными записями одного и того же Адрес владельца. Поэтому, из-за принятия нерушимого алгоритма шифрования и анонимных биткойнов, весьма вероятно, что этот вид прибыльной вспышки вируса-вымогателя продолжится в течение долгого времени. Все должны быть осторожны.

360 Helios Team

360 Helios Team — исследовательская команда APT (Advanced Persistent Attack) в Qihoo 360.

Команда посвящена расследованию атак APT, реагированию на инциденты угроз и исследованиям промышленных цепей подпольной экономики.

С момента создания в декабре 2014 года, команда успешно интегрировала огромную базу данных 360 и создала быструю процедуру реверсирования и корреляции. К настоящему времени было обнаружено и выявлено более 30 APT и групп подпольой экономики.

360 Helios также предоставляет решения для оценки угроз и реагирования на угрозы для предприятий.

Публичные отчеты

Контакт
Эл. Почта: [email protected]
Группа WeChat: 360 Helios Team
Пожалуйста, скачайте QR-код ниже, чтобы следить за нами на WeChat!

Добрый день!

Удалить вирус WannaCrypt (Wana Decrypt0r 2.0) с компьютера несложно, простая инструкция ниже подойдет для любой современной версии Windows. А вот расшифровать файлы.WNCRY бесплатно пока нельзя. Все крупные производители антивирусного программного обеспечения работают над таким дешифратором, но никакого значимого прогресса в этом направлении пока нет.

Если вы удалите вирус с компьютера, то есть большая вероятность, что зашифрованные файлы вы никогда уже не сможете расшифровать. WannaCrypt (Wana Decrypt0r 2.0) использует очень эффективные методы шифрования и шансов, что разработают бесплатный дешифровщик не так уж и много.

Вам необходимо решить, готовы ли вы потерять зашифрованные файлы или нет. Если готовы - используйте инструкцию ниже, если не готовы - платите выкуп создателям вируса. В будущем обязательно начните использовать любую систему резервного копирования ваших файлов и документов, их сейчас очень много, и платных, и бесплатных.

1. Закройте 445-й сетевой пор т:

  • Запустите командную строку cmd от имени администратора (инструкция: ).
  • Скопируйте следующий текст: Netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
  • Вставьте его в командную строку и нажмите клавишу Enter, в ответ система должна написать "OK".

3. Настройте отображение скрытых и системных папок , для этого:

  • Нажмите одновременно клавиши Win R;
  • Введите в окне "control.exe" и нажмите Enter;
  • В поисковой строке Панели Управления (справа наверху) напишите "Параметры проводника";
  • Нажмите на Ярлык "Параметры проводника" в основном окне;
  • В новом окне перейдите на вкладку "Вид";
  • Найдите пункт "Скрытые файлы и папки" и выберите пункт "Показывать скрытые файлы, папки и диски";
  • Нажмите кнопку "Применить", затем "ОК".

4. Откройте Проводник, последовательно перейдите в папки:

  • %ProgramData%
  • %APPDATA%
  • %TEMP%

(просто копируйте каждое название папки в адресную строку проводника).

В каждой из указанных папок внимательно просмотрите все вложенные папки и файлы. Удаляйте все, что содержит в названии упоминание о вирусе WannaCrypt (Wana Decrypt0r 2.0).

Ищите подозрительные записи реестра в следующих папках:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

6. Перезагрузите компьютер.

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

WannaCry – что это такое и как от него защититься

Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.

Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.

Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows, которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.

Вирус работает по следующей схеме — вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.

Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.

Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года .

Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система. Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.

Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб. Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую — избавиться от Wanna Decryptor не так просто.

Один из самых простых способов вылечить вирус – это просто переустановить систему. При этом, вы потеряете не только те данные, которые были на диске с установленной системой. Ведь для полного выздоровления нужно будет провести форматирование всего жесткого диска. Если вы не готовы на такие кардинальные шаги, то можно попробовать вылечить систему вручную:

  1. Скачайте обновление для системы, о котором писалось выше в статье.
  2. Далее отключаемся от интернета
  3. Запускаем командную строку cmd и блокируем 445 порт, по которому вирус проникает на компьютер. Делается это следующей командой:
    netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
  4. Далее запускаем систему в безопасном режиме. При загрузке удерживаем F8, система сама спросит вас, как именно запустить компьютер. Нужно выбрать «Безопасный режим».
  5. Находим и удаляем папку с вирусом, найти ее можно кликнув по ярлыку вируса и нажав «Расположение файла».
  6. Перезапускаем компьютер в обычном режиме и устанавливаем обновление для системы которое мы скачали, включаем интернет и устанавливаем его.

Wanna cry – как расшифровать файлы

Если вы полностью избавились ото всех проявлений вируса, то самое время заняться расшифровкой данных. И, если вы думаете, что самое сложное позади, то вы сильно ошибаетесь. В истории даже зарегистрирован случай, когда сами создатели шифровальщика не смогли помочь пользователю, который им заплатил и отправили его в службу технической поддержки антивируса.

Оптимальный вариант – это удалить все данные и . Вот только, если такой копии нет, то придется покорпеть. А помогут вам программы дешифровщики. Правда, ни одна программа не может гарантировать стопроцентный результат.

Существует несколько простых программ, которые могут справиться с расшифровкой данных — например Shadow Explorer или Windows Data recovery. Так же стоит заглянуть в лабораторию Касперского, который периодически выпускает декрипторы — http://support.kaspersky.ru/viruses/utility

Очень важно! Запускайте программы декрипторы только после того, как удалили все проявления вируса, иначе рискуете навредить системе или потерять данные снова.

Wanna decryptor показал, насколько хрупкой может быть система безопасности любого крупного предприятия или даже государственного учреждения. Так что май месяц стал показательным для многих стран. Кстати, в МВД России пострадали только те машины, которые использовали Windows, а вот те компьютеры, на которых стояла операционная система российской разработки Эльбрус не пострадали.

А какие способы лечения Wanna decryptor помогли вам? Напишите комментарий к этой статье и поделитесь с другими.

Подпишись на новые статьи, что бы не пропустить!