Головна > Кавоварки > Wana Decrypt0r або WannaCry: необхідні оновлення Windows та способи виявлення. Про оновлення Windows від вірусу-шифрувальника WannaCry Завантажити оновлення від шифрувальника


Wana Decrypt0r або WannaCry: необхідні оновлення Windows та способи виявлення. Про оновлення Windows від вірусу-шифрувальника WannaCry Завантажити оновлення від шифрувальника




Всім привіт! Зовсім недавно інтернет схвилювала подію, від якої постраждали комп'ютери багатьох компаній і приватних користувачів. У всьому виною вірус Wanna Cry, який за короткий час блискавично проник і заразив величезну кількість комп'ютерів у різних країнах світу. На даний момент поширення вірусу знизилося, але не повністю зупинилося. Через це користувачі періодично трапляються в його пастку і не знають, що робити, тому що не всі антивірусні програми здатні його знешкодити. За попередніми даними, атаку зазнали понад 200 тисяч комп'ютерів по всьому світу. Вірус Wanna Cry по праву можна вважати найсерйознішою загрозою поточного року, і можливо, ваш комп'ютер буде наступним на його шляху. Тому давайте докладно розглянемо, як цей шкідливий код поширюється і яким чином можна з ним боротися.

Що за лиходій вірус Wanna Cry?

"Вона край", так ще називають Російські користувачі даний вірус, відноситься до виду шкідливого ПЗ, яке поселяється на комп'ютері як троян і починає вимагати гроші у користувача ПК. Принцип його роботи такий: на робочому столі комп'ютера з'являється банер, який блокує всю роботу користувача і пропонує йому надіслати платне SMS повідомлення, щоб прибрати блокування. Якщо користувач відмовиться платити гроші, інформація на комп'ютері буде зашифрована без відновлення. Як правило, якщо не вжити жодних дій, можна попрощатися з усією інформацією, що зберігається на жорсткому диску.

Насправді, вірус Wanna Cry можна віднести до групи вірусів, блокерів-вимагачів, які періодично тріплють нерви багатьом користувачам.

Як працює новий шкідник?

Потрапляючи на комп'ютер, вона дуже швидко шифрує інформацію, що знаходиться на жорсткому диску.

Після цього, на робочому столі з'являється спеціальне повідомлення, в якому користувачеві пропонується заплатити 300 доларів за те, щоб програма розшифрувала файли. Якщо користувач довго думатиме, і гроші не надійдуть на спеціальний електронний гаманець Bitcoin, то сума викупу подвоїться і доведеться викласти вже 600 доларів, що на наші гроші близько 34000 тисяч рублів, пристойна сума, чи не так?

За сім днів, якщо користувач не відправить винагороду для розшифрування файлів, ці файли будуть видалені здирником без можливості відновлення.

Вірус Wanna Cry вміє працювати практично з усіма сучасними типами файлів. Ось малий список розширень, які знаходяться в зоні ризику: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Як бачите, у цьому невеликому списку є всі популярні файли, які здатні зашифрувати вірус.

Хто ж творець вірусу Wanna Cry?


За інформацією агентства національної безпеки Сполучених Штатів Америки раніше було виявлено програмний код під назвою «Eternal Blue», щоправда, інформація про цей код була прихована, для використання в особистих інтересах. Вже у квітні поточного року, спільнота хакерів оприлюднила інформацію про цей експлойт.

Швидше за все, автор вона край використовував цей код для написання дуже ефективного вірусу. На даний момент ще не встановлено, хто є головним автором здирника.

Як поширюється та потрапляє на комп'ютер вірус Wanna Cry?

Якщо ви ще не потрапили в пастку вірусу Wanna Cry, будьте уважні. Поширюється він, найчастіше, у вигляді електронних листів із вкладеннями.

Уявимо таку ситуацію! Вам надходить повідомлення електронної пошти, можливо, навіть від відомого вам користувача, яке містить аудіозапис, відео кліп або фото, відкривши лист користувач з радістю кликає по вкладенню, не помічаючи той факт, що файл має розширення exe. Тобто насправді, користувач сам запускає установку програми, внаслідок чого відбувається інфікування файлів комп'ютера і за допомогою шкідливого коду відбувається завантаження вірусу, який шифрує дані.

Зверніть увагу! Заразити комп'ютер блокером "вона край" ви можете і при завантаженні файлів з торрент-трекерів або отримавши особисте повідомлення в соціальних мережах або месенджерах.

Як убезпечити комп'ютер від вірусу Wanna Cry?

Напевно, у вашій голові виникло резонне питання: "Як захиститися від вірусу Wanna Cry?"

Тут я можу запропонувати кілька основних способів:

  • Оскільки розробники Майкрософт серйозно схвилювалися від дій вірусу, негайно випустили оновлення для всіх версій операційної системи Windows. Тому, щоб убезпечити свій ПК від даного шкідника, необхідно в терміновому порядку завантажити та встановити латку системи безпеки;
  • Уважно стежте за тим, які листи вам надходять на email. Якщо вам надійшов лист із вкладенням, навіть від знайомого вам адресата, зверніть увагу на розширення файлу. За жодних обставин, не відкривайте завантажені файли з розширенням виду: .exe; .vbs; .scr. Також розширення може бути замасковано і мати такий вигляд: avi.exe; doc.scr;
  • Щоб не потрапити в лапи вірусу, увімкніть показ розширень файлів у налаштуваннях операційної системи. Це дозволить вам бачити, який тип файлів ви намагаєтеся запустити. Так само буде добре видно тип замаскованих файлів;
  • Установка навіть самого л швидше за все не врятує ситуацію, так як вірус використовує вразливості операційної системи для доступу до файлів. Тому, перш за все, встановіть всі оновлення для Windows, а вже потім ставте ;
  • Якщо можливо, перенесіть всі важливі дані на зовнішній жорсткий диск. Це убезпечить вас від втрати інформації;
  • Якщо фортуна повернулася до вас п'ятою точкою, і ви потрапили під дію вірусу Wanna Cry, то для того, щоб його позбутися перевстановіть операційну систему;
  • Тримайте вірусні основи ваших встановлених антивірусів у актуальному стані;
  • Рекомендую завантажити та встановити безкоштовну утиліту Kaspersky Anti-Ransom ware. Дана утиліта дозволяє в режимі реального часу захистити комп'ютер від різних блокерів-вимагачів.

Патч Windows від Wanna Cry, щоб комп'ютер не хворів.

Якщо на вашому комп'ютері встановлено операційну систему:

  • Windows XP;
  • Windows 8;
  • Windows Server 2003;
  • Windows Embedded

Встановіть цей патч, завантажити ви його можете за посиланням на офіційному сайті Microsoft.

Для решти версій операційної системи Windows достатньо встановити всі доступні оновлення. Якраз із цими оновленнями ви закриєте дірки в системі безпеки Windows.

Видаляємо вірус Wanna Cry.

Для того, щоб видалити здирник "вона край", спробуйте скористатися однією з найкращих утиліт видалення шкідливих програм.

Зверніть увагу! Після роботи антивірусної програми зашифровані файли не будуть дешифровані. І швидше за все вам доведеться видалити їх.

Чи можна самостійно розшифрувати файли після Wanna Cry.

Як правило, блокери-вимагачі, до яких належить наш «вона край», шифрують файли із застосуванням ключів 128 і 256 біт. При цьому ключ для кожного комп'ютера є унікальним і не повторюється ніде. Тому якщо спробувати розшифрувати такі дані в домашніх умовах, то вам знадобиться не одна сотня років.

На даний момент у природі не існує жодного дешифратора Wanna Cry. Отже, жоден користувач зможе розшифрувати файли після роботи вірусу. Тому, якщо ви ще не стали його жертвою, рекомендую подбати про безпеку свого комп'ютера, якщо вам не пощастило, тобто кілька варіантів вирішення проблеми:

  • Заплатити викуп. Тут ви віддаєте гроші на свій страх та ризик. Так як вам ніхто не гарантує, що після того, як ви відправите гроші, програма зможе назад розшифрувати всі файли;
  • Якщо вірус не оминув ваш комп'ютер, то можна просто відключити жорсткий диск і покласти його на далеку полицю до кращих часів, коли з'явиться дешифратор. На даний момент, його не існує, але найімовірніше, він з'явиться незабаром. Хочу вам сказати по секрету, що дешифратори розробляє Лабораторія Касперського та викладає на сайт No Ramsom;
  • Для користувачів ліцензійного антивірусу Касперського існує можливість подати заявку на розшифровку файлів, які зашифрував вірус Wanna Cry;
  • Якщо на жорсткому диску ПК немає нічого важливого, то сміливо форматуйте його і встановлюйте чисту операційну систему;

Вірус Wanna Cry у Росії.

Уявляю графік, у якому добре видно, що найбільше комп'ютерів потрапило під дію вірусу біля Російської Федерації.

Найімовірніше, це сталося від того, що російські користувачі не надто люблять купувати ліцензійне ПЗ і найчастіше використовують піратські копії операційної системи Windows. Через це система не оновлюється, і залишається дуже вразливою для вірусів.

Не оминув такі комп'ютери і вірус Wanna Cry. Рекомендую встановлювати ліцензійну версію операційної системи та не вимикати автоматичне оновлення.

До речі, не лише комп'ютери приватних користувачів постраждали від блокера «вона край», а й державні організації такі як: МВС, МНС, Центробанк, а також великі приватні компанії, такі як оператор стільникового зв'язку «Мегафон», «Сбербанк Росії» та «РЖД». ».

Як я вже говорив вище, від проникнення вірусу можна було вберегтися. Так ще в березні поточного року компанія Майкрософт випустила оновлення системи безпеки Windows. Щоправда, не всі користувачі його встановили, через що й потрапили в пастку.

Якщо ви використовуєте стару версію операційної системи, то неодмінно завантажте та встановіть патч, про який я вам писав у пункті вище.

Підведемо підсумки.

У сьогоднішній статті ми з вами поговорили про новий вірус Wanna Cry. Я постарався максимально докладно розповісти, що собою представляє даний шкідник і як можна від нього вберегтися. Також тепер ви знаєте де можна завантажити патч, який закриє дірки в системі безпеки Windows.

  • Зараження зазнали вже понад 200 000 комп'ютерів!
Основні цілі атаки були спрямовані на корпоративний сектор, за ним потягнуло вже телекомунікаційні компанії Іспанії, Португалії, Китаю та Англії.
  • Найбільшого удару було завдано по російським користувачам та компаніям. У тому числі «Мегафон», РЗ та, за непідтвердженою інформацією, Слідчий Комітет та МВС. Ощадбанк і МОЗ також повідомили про атаки на свої системи.
За розшифровку даних зловмисники вимагають викуп від 300 до 600 доларів у биткоинах (близько 17 000-34 000 рублів).

Розбити диски HDD або SSD на розділи в Windows 10

Інтерактивна карта зараження (КЛІКНІ ПО КАРТІ)
Вікно з вимогою викупу
Шифрує файли наступних розширень

Незважаючи на націленість вірусу атаки корпоративного сектора, звичайний користувач також не застрахований від проникнення WannaCry і можливої ​​втрати доступу до файлів.
  • Інструкція із захисту комп'ютера та даних у ньому від зараження:
1. Виконайте інсталяцію програми Kaspersky System Watcher , яка оснащена вбудованою функцією відкату змін, що виникли від дій шифрувальника, якій таки вдалося обійти засоби захисту.
2. Користувачам антивірусника від «Лабораторії Касперського» рекомендується перевірити, щоб було включено функцію «Моніторинг системи».
3. Користувачам антивірусника від ESET NOD32 для Windows 10 впроваджено функцію перевірки нових доступних оновлень ОС. Якщо ви потурбувалися заздалегідь і вона була у вас включена, то всі необхідні нові оновлення Windows будуть встановлені і ваша система буде повністю захищена від цього вірусу WannaCryptor та інших схожих атак.
4. Також у користувачів продуктів ESET NOD32 є така функція в програмі, як детектування ще невідомих загроз. Цей метод заснований на використання поведінкових, евристичних технологій.

Якщо вірус веде себе як вірус – найімовірніше, це вірус.

Технологія хмарної системи ESET LiveGrid з 12 травня відбивала дуже успішно всі напади атак даного вірусу і все це відбувалося ще до надходження до оновлення сигнатурних баз.
5. Технології ESET надають захищеність у тому числі й пристроям з попередніми системами Windows XP, Windows 8 та Windows Server 2003 ( рекомендуємо відмовитися від використання даних застарілих систем). Через високій рівень загрози, для даних ОС, Microsoft прийняла рішення випустити оновлення. Завантажити їх.
6. Для зниження до мінімуму загрози заподіяння шкоди вашому ПК, необхідно в терміновому порядку виконати оновлення своєї версії Windows 10: Пуск - Параметри - Оновлення та безпека - Перевірка наявності оновлень (в інших випадках: Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та встановити).
7. Виконайте встановлення офіційного патчу (MS17-010) від Microsoft, який виправляє помилку сервера SMB, через яку може проникнути вірус. Цей сервер задіяний у цій атаці.
8. Перевірте, щоб на вашому комп'ютері були запущені та у робочому стані всі наявні інструменти безпеки.
9. Перевірте віруси всієї системи. При оголенні шкідливої ​​атаки під назвою MEM: Trojan.Win64.EquationDrug.gen, перезавантажте систему.
І ще раз вам рекомендую перевірити, щоб були встановлені патчі MS17-010.

В даний час фахівці "Лабораторії Касперського", "ESET NOD32" та інших антивірусних продуктів, ведуть активну роботу над написанням програми для дешифрування файлів, що допоможе користувачам заражених ПК для відновлення доступу до файлів.

12 квітня 2017 року з'явилася інформація про стрімке поширення по всьому світу вірусу-шифрувальника під назвою WannaCry, що можна перекласти як «Хочеться плакати». У користувачів з'явилися питання оновлення Windows від вірусу WannaCry.

Вірус на екрані комп'ютера виглядає так:

Негативний вірус WannaCry, який все шифрує

Вірус шифрує всі файли на комп'ютері і вимагає викуп на гаманець Біткоїна в сумі 300 $ або 600 $ для розшифровки комп'ютера. Зараження зазнали комп'ютери в 150 країнах світу, найбільше постраждала – Росія.

Мегафон, РЗ, МВС, МОЗ та інші компанії впритул зіткнулися з цим вірусом. Серед постраждалих є й прості користувачі Інтернету.

Перед вірусом майже всі рівні. Різниця, мабуть, у тому, що в компаніях вірус поширюється по всій локальній мережі всередині організації та миттєво заражає максимально можливу кількість комп'ютерів.

Вірус WannaCry шифрує файли на комп'ютерах, які використовують Windows. У компанії Microsoft ще в березні 2017 року було випущено оновлення MS17-010 для різних версій Windows XP, Vista, 7, 8, 10.

Виходить, що ті, у кого налаштовано автоматичне оновлення Windows, знаходяться поза зоною ризику для вірусу, оскільки своєчасно отримали оновлення та змогли його уникнути. Не беруся стверджувати, що так воно є насправді.

Мал. 3. Повідомлення під час встановлення оновлення KB4012212

Оновлення KB4012212 після встановлення вимагало перезавантаження ноутбука, що мені не дуже сподобалося, бо невідомо, чим це може закінчитися, але куди подітися користувачеві? Втім, перезавантаження пройшло нормально. Отже, живемо спокійно до наступної вірусної атаки, а такі атаки будуть – сумніватися, на жаль, не доводиться.


У будь-якому випадку, важливо мати , щоб було звідки відновлювати операційну систему та свої файли.

Оновлення Windows 8 від WannaCry

Для ноутбука з ліцензійною Windows 8 було встановлено оновлення KB 4012598

Про масові зараження комп'ютерів трояном-шифрувальником WannaCry («хочеться плакати»), що почалися 12 травня 2017 року, сьогодні не знає, мабуть, тільки дуже далека від Інтернету людина. А реакцію тих, хто знає, я розділив би на 2 протилежні категорії: байдужість і панічний переляк. Про що це каже?

А про те, що уривчасті відомості не дають повного розуміння ситуації, породжують домисли та залишають по собі більше запитань, ніж відповідей. Щоб розібратися, що відбувається насправді, кому і чим це загрожує, як захиститись від зараження та як розшифрувати файли, пошкоджені WannaCry, присвячена сьогоднішня стаття.

Чи так страшний «чорт» насправді

Не зрозумію, що за метушня навколоWannaCry? Вірусів багато, нові з'являються постійно. А це чимось особливий?

WannaCry (інші назви WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) - не зовсім звичайна кіберзловред. Причина його сумної популярності – гігантські суми завданих збитків. За даними Європолу, він порушив роботу понад 200 000 комп'ютерів під управлінням Windows у 150 країнах світу, а збитки, які зазнали їх власники, становили понад $ 1 000 000 000. І це лише за перші 4 дні поширення. Найбільше постраждалих – у Росії та Україні.

Я знаю, що віруси проникають на комп'ютер через сайти для дорослих. Я таких ресурсів не відвідую, тому мені нічого не загрожує.

Вірус? Теж мені проблема. Коли на моєму комп'ютері заводяться віруси, я запускаю утиліту *** і через півгодини все гаразд. А якщо не допомагає, я встановлюю віндовс.

Вірус вірусу – різниця. WannaCry – троян-вимагач, мережевий черв'як, здатний поширюватися через локальні мережі та Інтернет від одного комп'ютера до іншого без участі людини.

Більшість шкідливих програм, у тому числі шифрувальників, починає працювати тільки після того, як користувач "проковтне наживку", тобто клікне за посиланням, відкриє файл і т.п. щоб заразитись WannaCry, не потрібно робити взагалі нічого!

Опинившись на комп'ютері з Віндовсом, шкідливість за короткий час шифрує основну масу файлів користувача, після чого виводить повідомлення з вимогою викупу в розмірі $300-600, який потрібно перерахувати на вказаний гаманець протягом 3 днів. У разі зволікання він загрожує через 7 днів унеможливити розшифровку файлів.


Одночасно шкідливість шукає лазівки для проникнення інші комп'ютери, і якщо знаходить, заражає всю локальну мережу. Це означає, що резервні копії файлів, що зберігаються на сусідніх машинах, теж стають непридатними.

Видалення вірусу з комп'ютера не призводить до розшифрування файлів!Переустановка операційної системи теж. Навпаки, при зараженні шифрувальниками обидві ці дії можуть позбавити вас можливості відновити файли навіть за наявності валідного ключа.

Так що так, "чорт" цілком собі страшний.

Як поширюється WannaCry

Ви все брешете. Вірус може проникнути на мій комп'ютер, тільки якщо я сам його скачаю. А я пильний.

Багато шкідливих програм вміють заражати комп'ютери (і мобільні девайси, до речі, теж) через уразливості – помилки в коді компонентів операційної системи та програм, які відкривають кібер-зловмисникам можливість використовувати віддалену машину у своїх цілях. WannaCry, зокрема, поширюється через уразливість 0-day у протоколі SMB (уразливістю нульового дня називають помилки, які на момент початку їх експлуатації шкідливим/шпигунським програмним забезпеченням не були виправлені).

Тобто для зараження комп'ютера черв'яком-шифрувальником достатньо двох умов:

  • Підключення до мережі де є інші заражені машини (Інтернет).
  • Наявності у системі вищеописаної лазівки.

Звідки ця зараза узялася взагалі? Це витівки російських хакерів?

За деякими даними (за достовірність не відповідаю), пролом у мережевому протоколі SMB, який служить для легального віддаленого доступу до файлів та принтерів в ОС Windows, першим виявило Агентство національної безпеки США. Замість того, щоб повідомити про неї в Microsoft, щоб там виправили помилку, в АНБ вирішили скористатися нею самі і розробили для цього експлойт (програму, що експлуатує вразливість).


Візуалізація динаміки розповсюдження WannaCry на сайті intel.malwaretech.com

Згодом цей експлойт (кодове ім'я EternalBlue), який слугував якийсь час АНБ для проникнення на комп'ютери без відома власників, був викрадений хакерами і ліг в основу створення здирника WannaCry. Тобто завдяки не зовсім законним та етичним діям держструктури США вірусописці й дізналися про вразливість.

Я вимкнув інсталяцію оновленьWindows. Нафіг треба, коли і без них працює.

Причина такого швидкого і масштабного поширення епідемії - відсутність на той момент "латки" - оновлення Windows, здатного закрити лазівку Wanna Cry. Адже щоб його розробити, потрібен час.

На сьогоднішній день така латка існує. Користувачі, які оновлюють систему автоматично, отримали її перші години після випуску. А ті, хто вважає, що поновлення не потрібні, досі перебувають під загрозою зараження.

Кому загрожує атака WannaCry та як від неї захиститися

Наскільки я знаю, понад 90% комп'ютерів, зараженихWannaCry, працювало під керуваннямWindows 7. У мене «десятка», отже, мені нічого не загрожує.

Небезпеки зараження WannaCry схильні до всіх операційних систем, які використовують мережевий протокол SMB v1. Це:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v 1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Підхопити зловреда по мережі сьогодні ризикують користувачі систем, на яких не встановлено критичне оновлення безпеки MS17-010(Доступно для безкоштовного скачування з сайту technet.microsoft.com, на який наведено посилання). Патчі для Windows XP, Windows Server 2003, Windows 8 та інших непідтримуваних ОС можна завантажити з цієї сторінки support.microsoft.com. На ній описані способи перевірки наявності рятівного оновлення.

Якщо ви не знаєте версію ОС на вашому комп'ютері, натисніть комбінацію клавіш Win+R і виконайте winver.


Для посилення захисту, а також у разі неможливості оновити систему зараз, Microsoft наводить інструкції з тимчасового відключення протоколу SMB версії 1. Вони знаходяться і . Додатково, але не обов'язково, можна закрити через брандмауер 445 порт TCP, який обслуговує SMB.

У мене найкращий у світі антивірус ***, з ним я можу робити будь-що і мені нічого не страшно.

Поширення WannaCry може відбуватися не тільки вищеописаним самоходом, а й звичайними способами – через соціальні мережі, електронну пошту, заражені та фішингові веб-ресурси тощо. І такі випадки є. Якщо завантажити та запустити шкідливу програму вручну, то ні антивірус, ні патчі, що закривають уразливості, від зараження не врятують.

Як працює вірус, що шифрує

Та хай шифрує, що хоче. У мене друг програміст, він мені все розшифрує. У крайньому випадку знайдемо ключ шляхом перебору.

Ну, зашифрує пару файлів і що? Це не завадить мені працювати на комп'ютері.

На жаль, не розшифрує, оскільки способів злому алгоритму шифрування RSA-2048, який використовує Wanna Cry, немає і в найближчому майбутньому не з'явиться. І зашифрує він не пару файлів, а майже все.

Наводити детальний опис роботи шкідливості я не буду, кому цікаво, може ознайомитися з його аналізом, наприклад, у блозі експерта Microsoft Matt Suiche. Відзначу лише найзначніші моменти.

Шифрування піддаються файли з розширеннями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Як видно, тут і документи, і фото, і відео-аудіо, і архіви, і пошта, і файли, створені в різних програмах... Зловред намагається дотягнутися до кожного каталогу системи.

Зашифровані об'єкти отримують подвійне розширення з припискою WNCRYнаприклад, "Документ1.doc.WNCRY".


Після шифрування вірус копіює у кожну папку виконуваний файл @[email protected] – нібито для дешифрування після викупу, а також текстовий документ @[email protected] з повідомленням користувача.

Далі він намагається винищити тіньові копії та точки відновлення Windows. Якщо в системі працює UAC, користувач має підтвердити цю операцію. Якщо відхилити запит, залишиться шанс відновити дані із копій .

Ключі шифрування ураженої системи WannaCry передає командні центри, розташовані в мережі Tor, після чого видаляє їх з комп'ютера. Для пошуку інших вразливих машин він сканує локальну мережу та довільні діапазони IP в Інтернеті, а знайшовши проникає на все, до чого зможе дістатися.

Сьогодні аналітикам відомо кілька модифікацій WannaCry з різним механізмом поширення, і найближчим часом, слід очікувати, з'являться нові.

Що робити, якщо WannaCry вже заразив комп'ютер

Я бачу, як файли змінюють розширення. Що відбувається? Як це зупинити?

Шифрування – не одномоментний процес, хоч і не надто довгий. Якщо ви помітили його до появи на екрані повідомлення здирника, ви можете врятувати частину файлів, негайно вимкнувши живлення комп'ютера. Не завершенням роботи системи, а висмикуванням вилки з розетки!

При завантаженні Виндовс у нормальному режимі шифрування буде продовжено, тому важливо його не допустити. Наступний запуск комп'ютера повинен відбутися або в безпечному режимі, в якому віруси не активні, або з іншого носія.

Мої файли зашифровані! Вірус вимагає за них викупу! Що робити, як розшифрувати?

Розшифровка файлів після WannaCry можлива лише за наявності секретного ключа, який зловмисники обіцяють надати, щойно постраждалий перерахує їм суму викупу. Однак подібні обіцянки майже ніколи не виконуються: навіщо розповсюджувачам шкідливих трудитися, якщо вони і так отримали що хотіли?

В окремих випадках вирішити проблему можна і без викупу. На сьогоднішній день розроблено 2 дешифратори WannaCry: WannaKey(автор Adrien Guinet) та WanaKiwi(Автор Benjamin Delpy) . Перший працює лише у Windows XP, а другий, створений на основі першого, – у Windows XP, Vista та 7 x86, а також у північних системах 2003, 2008 та 2008R2 x86.

Алгоритм роботи обох дешифраторів заснований на пошуку секретних ключів у пам'яті процесу шифрувальника. Це означає, що шанс на розшифровку є лише ті, хто не встиг перезавантажити комп'ютер. І якщо після шифрування минуло не надто багато часу (пам'ять не була перезаписана іншим процесом).

Отже, якщо ви маєте Windows XP-7 x86, перше, що слід зробити після появи повідомлення з вимогою викупу, це відключити комп'ютер від локальної мережі та Інтернету і запустити дешифратор WanaKiwi, завантажений на іншому пристрої. До виймання ключа не виконуйте жодних інших дій на комп'ютері!

Ознайомитися з описом роботи дешифрувальника WanaKiwi можна ще в одному блозі Matt Suiche.

Після розшифровування файлів запустіть антивірус для видалення зловреда та встановіть патч, що закриває шляхи його розповсюдження.

Сьогодні WannaCry розпізнають практично всі антивірусні програми, за винятком тих, що не оновлюються, тож підійде майже будь-яка.


Як жити це життя далі

Епідемія з самохідними властивостями застала світ зненацька. Для всіляких служб безпеки вона виявилася такою ж несподіваною, як настання зими 1 грудня для комунальників. Причина - безтурботність і може. Наслідки – непоправна втрата даних та збитки. А для творців шкідливості – стимул продовжувати так само.

Як вважають аналітики, WanaCry приніс розповсюджувачам дуже непогані дивіденди, а отже, атаки, подібні до цієї, будуть повторюватися. І тих, кого пронесло зараз, не обов'язково пронесе згодом. Звичайно, якщо не потурбуватися про це наперед.

Отже, щоб вам не довелося будь-коли плакати над шифрованими файлами:

  • Не відмовляйтеся від інсталяції оновлень операційної системи та програм. Це захистить вас від 99% загроз, які поширюються через незакриті вразливості.
  • Тримайте увімкненим .
  • Створюйте резервні копії важливих файлів та зберігайте їх на іншому фізичному носії, а краще – на кількох. У корпоративних мережах оптимально використовувати розподілені бази зберігання даних, домашні користувачі можуть взяти на озброєння безкоштовні хмарні сервіси на кшталт Яндекс Диск, Google Диск, OneDrive, MEGASynk тощо. Не тримайте ці програми запущеними, коли не користуєтеся ними.
  • Вибирайте надійні операційні системи. Віндовс XP такий не є.
  • Встановіть комплексний антивірус класу Internet Security та додатковий захист від здирників, наприклад, Kaspersky Endpoint Security. Або аналоги інших розробників.
  • Підвищуйте рівень грамотності у протидії троянам-шифрувальникам. Наприклад, антивірусний вендор Dr.Web підготував для користувачів та адміністраторів різних систем навчальні курси. Чимало корисної та, що важливо, достовірної інформації міститься в блогах інших розробників A/V.

І головне: навіть якщо ви постраждали, не переказуєте зловмисникам гроші за розшифровку. Імовірність того, що вас обдурять – 99%. Крім того, якщо ніхто платитиме, бізнес на здирництві стане безглуздим. А інакше поширення подібної зарази лише зростатиме.