Главная » Вопросы » Компьютеры, Связь » Софт (software)

Как восстановить файлы, зашифрованные вирусом WannaCry?
Как восстановить доступ к файлам после заражения вирусом-шифровальщиком WannaCry?
Категория: Софт (software) | Добавил: Ален_Делон (23.05.2017)
Просмотров: 950 | Ответы: 6 | Рейтинг: 5.0/2
Ответов: 6
0 Pilat
23.05.2017 оставил(а) комментарий:
Программист из французской фирмы Quarkslab Адриен Гинье поведал, как можно расшифровать данные, которые были заражены вирусом WannaCry. Как и WannaKey, wanakiwi эксплуатирует баг, найденный в Microsoft Crypto API, который дает возможность извлечь из оперативной памяти незашифрованный оригинал ключа, нужного для восстановления пострадавших файлов. По его словам, при помощи этой ошибки можно извлечь из памяти компьютера ключ RSA, который нужен для расшифровки данных. В соответствии со сведениями, представленными на GitHub, метод обойти действие вредоносного ПО существует, однако его можно использовать только на ПУ, использующих Windows XP. Специалист отмечает, что его метод, который получил название Wannakey, работает только с Windows XP, поэтому советует выбрать совместимость с XP в свойствах файла. «Если вам повезет, то ключ все еще остался в памяти», — добавил специалист Quarkslab. Он уже удачно расшифровал файлы на нескольких пораженных вирусом компьютерах. Как правило идет речь о юзерах из Российской Федерации, Европы, США, Китая и южной америки. 1-ый применяется для шифрации файлов, а 2-ой — для их расшифровки в том случае, ежели жертва заплатит выкуп.
0 Люсси
23.05.2017 оставил(а) комментарий:
WannaCry — вирус шифровальщик, поразивший множество компьютеров по всему миру, в результате атаки, запущенной 12 мая 2017 года. От действий вируса шифровальщика Wanna Decryptor пострадали многие известные компании и обычные пользователи.

Вирус вымогатель известен под следующими именами: WannaCry (Wanna Cry — «хочу плакать»), Wanna Decrypt0r, WCry, Wanna Crypt, Wana Decrypt0r). В результате действий вируса, происходит шифрование многих файлов на компьютере, в том числе системных. После того, как файлы будут зашифрованы, пользователь увидит заставку, на которой ему сообщают, что файлы на компьютере зашифрованы, а за расшифровку данных требуют заплатить деньги.

Период времени для перевода денег хакерам ограничен, в случае невыполнения условий вымогателей, все зашифрованные данные будут удалены с компьютера.

В отличие от поведения обычных вирусов-вымогателей, для заражения Windows от пользователя не требуется никаких действий. WCry попадает на компьютер разными способами: локально, как обычный вирус (во вложении в электронном письме, вместе с другой программой и т.п.), или самостоятельно распространяясь по сети.

На борьбу с опасной малварью, помимо аналитиков антивирусных лабораторий, включились отдельные энтузиасты.

Благодаря британскому исследователю MalwareTech удалось временно приостановить распространение эпидемии. Он зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (имя домена было зашито в коде вредоносной программы), который остановил распространение вируса Wana Decrypt0r.

Программист из Таиланда Чанвит Кеокаси создал программу блокиратор вируса Wanna Cry, которую можно скачать из GitHab.

Специалист компании Quarkslab Адриен Гине нашел способ расшифровки файлов, который работает только в Windows XP.

Появились новые модифицированные версии вредоносной программы, созданные другими хакерами, которые решили воспользоваться сложившейся ситуацией. Появился имитатор вируса Adylkuzz, который обнаружить намного труднее. Малварь Adylkuzz использует эту же уязвимость ОС Windows для майнинга (заработок денег, используя ресурсы другого компьютера).
0 Люсси
23.05.2017 оставил(а) комментарий:
Как распространяется WannaCry

В операционной системе Windows существовала уязвимость в протоколе SMB, которую в свое время обнаружило Агентство Национальной Безопасности (АНБ) США. АНБ использовало найденную брешь в своих целях. Корпорация Microsoft не знала о наличии данной проблемы с безопасностью в операционной системе Windows.

Хакерская группа The Shadow Brokers смогла похитить у АНБ эксплойты EternalBlue и DoublePulsar, которые были опубликованы в свободном доступе. На основе выкраденных эксплойтов, злоумышленниками была создана программа, которая использует данную уязвимость в операционной системе.

Вирус сканирует в интернете компьютеры на наличие открытого порта 445, который используется для совместной работы с файлами. После проникновения на компьютер, программа Wanna Decryptor, шифрует файлы, заменяя расширения файлов на «.wncry». Шифрование осуществляется по комбинации алгоритмов AES-128 и RSA, в данный момент, расшифровка файлов затруднена.

Затем на экран монитора выводится сообщение с требованием выкупа на языке операционной системы (всего поддерживается 28 языков, в том числе русский язык).

За разблокировку злоумышленники требуют определенную сумму в биткоинах, в эквиваленте 300-600 долларов. Если в течение 3 дней денежные средства не будут выплачены, сумма выкупа удваивается, а через 7 дней все зашифрованные данные будут удалены с компьютера. Вредоносная программа выполняет команды, поступающие из серверов через анонимную сеть Tor.

Узнав об этой проблеме, 14 марта 2017 года Microsoft выпустила патч MS17-010, который закрывает бреш в безопасности, эксплуатируемый хакерами.
0 Люсси
23.05.2017 оставил(а) комментарий:
Как защититься от Wanna Cry

Защита от вируса WannaCry существует, для этого пользователю необходимо выполнить некоторые действия.

1. Закройте на компьютере порт 445.
Для распространения вирус Wanna Crypt использует открытый порт 445. Поэтому первое, что нужно сделать: проверьте, закрыт данный порт или нет.

2. Установите обновление Windows защищающее от WannaCry.
Если на компьютере включена автоматическая установка обновлений для операционной системы Windows, то это значит, что обновление безопасности было своевременно установлено на компьютер. Если автоматическое обновление на компьютере отключено, самостоятельно загрузите и установите заплатку MS17-010, которая воспрепятствует проникновению вируса на компьютер.

Скачайте патч MS17-010 версии Windows, установленной на компьютере, соответствующей разрядности. Из-за серьезности проблемы, Майкрософт выпустила патчи для операционных систем: Windows XP, Windows Vista, Windows Server 2003, Windows 8, поддержка которых была в свое время прекращена.

После установки обновления безопасности, перезагрузите компьютер. Установите все последние обновления безопасности.

3. Проверьте компьютер антивирусом.
Большинство антивирусов своевременно обнаруживают вирус Wanna Ransomware. Защитник Windows (Windows Defender) также надежно защищает компьютер от программы-вымогателя. Обратите внимание на то, что, если вы случайно самостоятельно запустите шифровальщика, патч не спасет ваш компьютер от заражения. Для удаления вируса с компьютера, необходима проверка антивирусом.

Маршрутизаторы, при настройках по умолчанию, не дадут вирусу использовать 445 порт на домашнем компьютере. Заражение возможно по локальной сети провайдера.
0 Тамми
23.05.2017 оставил(а) комментарий:
В то время как вирус-вымогатель WannaCry ещё атакует незащищенные ПК по всему миру, 360 Total Security выпускает инструмент дешифрования, чтобы восстановить похищенные документы.

Если ваш компьютер, к сожалению, был заражен, вам не нужно платить выкуп. Используйте 360 инструмент дешифрования для вируса-вымогателя WannaCry для восстановления ваших файлов.


Примечание. В некоторых случаях этот инструмент не может полностью восстановить файлы, потому что вирус-вымогатель, может быть, уже серьезно повредил файлы. Это зависит от того, сколько времени прошло после заражения и от количества зашифрованных файлов.
0 аgent
28.05.2017 оставил(а) комментарий:
Уязвимость затрагивает только операционные системы Windows. Если у вас актуальная система (Windows 7 и выше) и вы устанавливаете обновления безопасности, то WannaCrypt не представляет для вас угрозы.

Для того, чтобы закрыть уязвимость необходимо установить обновления безопасности или отключить службу SMBv1.

Для устаревших систем снятых с поддержки (Windows Server 2003, Windows XP SP2 и SP3) Microsoft сегодня в виде исключения выпустила патч. (Прямые ссылки на наиболее распростренненные в нашей стране конфигурации: Windows XP SP3 (kb4012598, rus, x86), Windows Server 2003 (kb4012598, rus, x86))

Отключение и удаление службы SMBv1 подробно описано в официальном руководстве.

Если вы используете PowerShell, то можно отключить SMBv1 выполнив следующую команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

или редактированием реестра, установив в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0

Можно вообще удалить службу SMBv1 все в той же PowerShell:

sc.exe config lanmanworkstation depend=browser/mrxsmb20/nsisc.exe config mrxsmb10 start=disabled

Еще одной мерой (хотя в некоторых случаях она может оказаться излишне радикальной), которая может ограничить распространение WannaCrypt является закрытие TCP-портов 135 и 445.

Кроме того, в коде вредоносной программы специалистами был обнаружен пароль, который позволяет расшифровать пораженные файлы: WNcry@2ol7
avatar