• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

новий вірус-шифрувальник Wanna Cry або WanaDecryptor 2.0, що залишає замість даних користувача зашифровані файли.wncry, стрясає простори Інтернету. Вражені сотні тисяч комп'ютерів та ноутбуків по всьому світу. Постраждали не лише звичайні користувачіАле мережі таких великих компаній як Ощадбанк, Ростелеком, Білайн, Мегафон, РЖД і навіть МВС Росії.

Таку масовість поширення вірусу-вимагателю забезпечило використання нових вразливостей операційних систем. сімейства Windows, які було розсекречено з документами спецслужб США.

WanaDecryptor, Wanna Cry, WanaCrypt чи Wana Decryptor — яка назва правильна?

На той час, коли почалася вірусна атака на глобальне павутиння, ще ніхто не знав, як точно називається нова зараза. Спочатку її називали Wana Decrypt0rза назвою вікна з повідомленням, що виникало на робочому столі. Дещо пізніше з'явилася нова модифікація шифрувальника. Wanna Decrypt0r 2.0. Але знову ж таки, це вікно-вимагач, яке фактично продає користувачеві ключ-декриптор, який теоретично повинен прийти потерпілому після того, як він переведе шахраям потрібну суму. Сам вірус, як виявилося, називається Wanna Cry (Ванна Край).
В Інтернеті досі можна зустріти різні його найменування. Часто користувачі замість літери «o» ставлять цифру «0» і навпаки. Також велику плутанину вносять різні маніпуляції з пробілами, наприклад WanaDecryptor і Wana Decryptor, або WannaCry і Wanna Cry.

Як працює шифрувальник WanaDecryptor

Принцип роботи цього здирника докорінно відрізняється від попередніх вірусів-шифрувальників, з якими ми зустрічалися. Якщо раніше для того, щоб зараза почала працювати на комп'ютері, треба було спочатку її запустити. Тобто вухатому користувачеві приходив лист поштою з хитрим вкладенням - скриптом, що маскується по який-небудь документ. Людина запускала виконуваний файлі цим активував зараження ОС. Вірус Ванна Край працює інакше. Йому не треба намагатися обдурити користувача, достатньо щоб у того була доступна критична вразливість служби загального доступудо файлів SMBv1, що використовує 445 порт. До речі, ця уразливість стала доступна завдяки інформації з архівів американських спецслужб, опублікованій на сайті wikileaks.
Потрапивши на комп'ютер жертви WannaCrypt починає масово шифрувати файли своїм дуже стійким алгоритмом. В основному поразки піддаються такі формати:

key, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, синя, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

У зашифрованого файлу змінюється розширення на .wncry. У кожну папку вірус здирник може додати ще два файли. Перший - це інструкція, де описано як робиться розшифровка wncry-файлу Please_Read_Me.txt, а другий - додаток-дектиптор WanaDecryptor.exe.
Ця пакість працює тихо-мирно доти, доки не вразить весь жорсткий дискпісля чого видасть вікно WanaDecrypt0r 2.0 з вимогою дати грошей. Якщо користувач не дав йому доопрацювати до кінця і антивірус зміг видалити програму-криптор, на робочому столі з'явиться таке повідомлення:

Тобто користувача попереджають, що частина його файлів вже вражена і якщо ви бажаєте отримати їх назад - поверніть криптор назад. Ага зараз! У жодному разі цього не робіть, інакше втратите й інше. Увага! Як розшифрувати файли WNCRY ніхто не знає. Бувай. Можливо, пізніше якийсь засіб розшифровки з'явиться — поживемо, побачимо.

Захист від вірусу Wanna Cry

Взагалі, патч Майкрософт MS17-010 для захисту від щифрувальника Wanna Decryptor вийшов ще 12 травня і якщо на вашому ПК служба оновлення Windows працює нормально, то
швидше за все, операційна система вже захищена. В іншому випадку потрібно завантажити цей патч Microsoft для своєї версії Віндовста терміново встановити його.
Потім бажано вимкнути взагалі підтримку SMBv1. Хоча б поки не схлине хвиля епідемії і ситуація не встаканиться. Зробити це можна або з командного рядка з правами адміністратора, ввівши команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Або через панель управління Windows. Там необхідно зайти в розділ «Програми та компоненти», вибрати в меню «Увімкнення або вимкнення компонентів Windows». З'явиться вікно:

Знаходимо пункт "Підтримка загального доступу до файлів SMB 1.0/CIFS", знімаємо з нього галочку і тиснемо на "ОК".

Якщо раптом з відключенням підтримки SMBv1 виникли проблеми, то для захисту Wanacrypt0r 2.0 можна піти іншим шляхом. Створіть правило, що використовується в системі фаєрволе, блокує порти 135 і 445. Для стандартного брандмауера Windowsпотрібно ввести в командному рядку наступне:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Close_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Close_TCP-445"

Ще варіант - скористатися спеціальним безкоштовним додатком Windows Worms Doors Cleaner:

Воно не вимагає установки і дозволяє без проблем перекрити проломи в системі, через які може пролізти вірус-шифрувальник.

Ну і звичайно ж не можна забувати про антивірусний захист. Використовуйте лише перевірені антивірусні продукти – DrWeb, Kaspersky Internet Security, E-SET Nod32. Якщо антивірус у Вас вже встановлений обов'язково оновіть його бази:

Насамкінець дам невелику пораду. Якщо у Вас є дуже важливі дані, які вкрай небажано втратити — збережіть їх на жорсткий диск, що знімається, і покладіть у шафу. Хоча б на час епідемії. Тільки так можна хоч якось гарантувати їхню безпеку, адже ніхто не знає яка буде наступна модифікація.

Травень 2017 року увійде до анналів історії, як чорний день для служби інформаційної безпеки. У цей день світ дізнався, що безпечний віртуальний світ може бути крихким та вразливим. Вірус здирник під назвою Wanna decryptor або wannacry захопив понад 150 тисяч комп'ютерів по всьому світу. Випадки зараження зафіксовано більш ніж у ста країнах. Звісно, ​​глобальне зараження було зупинено, але збитки обчислюються мільйонами. Хвилі поширення вірусу-вимагача все ще хвилюють деякі окремі машини, але цю чуму поки що зуміли стримати і зупинити.

WannaCry – що це таке та як від нього захиститися

Wanna decryptor відноситься до групи вірусів, які шифрують дані на комп'ютері та вимагають гроші у власника. Як правило, сума викупу своїх даних коливається в діапазоні від 300 до 600 доларів. За добу вірус він зумів заразити муніципальну мережу лікарень у Великій Британії, велику телевізійну мережуу Європі і навіть частина комп'ютерів МВС Росії. Зупинили його завдяки щасливому збігу обставин, зареєструвавши перевірочний домен, який був вшитий у код вірусу його творцями, для ручної зупинки розповсюдження.

Вірус заражає комп'ютер, як і в більшості інших випадках. Розсилка листів, соціальні профіліі просто серфінг по суті – ці способи дають вірусу можливість проникнути у вашу систему та зашифрувати всі ваші дані, проте може проникнути і без ваших явних дій через вразливість системи та відкритий порт.

Пролазить WannaCry через 445 порт, використовуючи вразливість в операційній системі Windows, яка нещодавно була закрита випущеними оновленнями. Отже, якщо цей порт у вас закритий або ви днями оновлювали Windows з оф. сайту, то можете не хвилюватися про зараження.

Вірус працює за наступною схемою — замість даних у ваших файлах, ви отримуєте незрозумілі закорючки марсіанською мовою, а ось щоб знову отримати нормальний комп'ютер, доведеться заплатити зловмисникам Ті, хто спустив цю чуму на комп'ютери простих людей, користуються оплатою биткоинами, тож вирахувати власників злісного трояна не вдасться. Якщо ви не платите протягом доби, то сума викупу зростає.

Нова версія трояна перекладається «Хочу плакати» і втрата даних може довести деяких користувачів до сліз. Так що краще вживати профілактичних заходів і не допускати зараження.

Шифрувальник використовує вразливість у системі Windows, яку компанія Microsot вже усунула. Потрібно просто оновити операційну систему до протоколу безпеки MS17-010 від 14 березня 2017 року.

До речі, оновитися можуть лише ті користувачі, які мають ліцензовану операційну систему. Якщо ж ви до таких не належите, просто скачайте пакет оновлень і встановіть його вручну. Тільки скачувати треба з перевірених ресурсів, щоб не підхопити заразу замість профілактики.

Звичайно ж, захист може бути самого високого рівня, але багато залежить і від самого користувача. Пам'ятайте, що не можна відкривати підозрілі посилання, які надходять до вас поштою або соціальним профілем.

Як вилікувати вірус Wanna decryptor

Ті, чий комп'ютер вже заразився, повинні приготуватися до тривалого лікування.

Вірус запускається на комп'ютері користувача та створює кілька програм. Одна з них починає шифрувати дані, інша забезпечує зв'язок із здирниками. На робочому моніторі з'являється напис, де вам пояснюють, що ви стали жертвою вірусу і пропонують швидше перерахувати гроші. При цьому ви не можете відкрити жоден файл, а розширення складаються з незрозумілих букв.

Перша дія, яку намагається зробити користувач - це відновлення даних за допомогою вбудованих в Windows служб. Але при запуску команди або нічого не станеться, або ваші старання пройдуть даремно - позбутися Wanna Decryptor не так просто.

Один з найбільш простих способіввилікувати вірус – це просто перевстановити систему. При цьому, ви втратите не тільки ті дані, які були на диску з встановленою системою. Адже для повного одужання потрібно буде провести форматування всього жорсткого диска. Якщо ви не готові на такі кардинальні кроки, можна спробувати вилікувати систему вручну:

1. Завантажте оновлення для системи, про яке писалося вище у статті.
2. Далі відключаємось від інтернету
3. Запускаємо командний рядок cmd і блокуємо 445 порт, яким вірус проникає на комп'ютер. Робиться це наступною командою:
   netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
4. Далі запускаємо систему в безпечному режимі. При завантаженні утримуємо F8 система сама запитає вас, як саме запустити комп'ютер. Потрібно вибрати "Безпечний режим".
5. Знаходимо і видаляємо папку з вірусом, знайти її можна клікнувши по ярлику вірусу і натиснувши "Розташування файлу".
6. Перезапускаємо комп'ютер у звичайному режимі та встановлюємо оновлення для системи, яке ми завантажили, включаємо інтернет та встановлюємо його.

Wanna cry – як розшифрувати файли

Якщо ви повністю позбулися всіх проявів вірусу, то саме час зайнятися розшифровкою даних. І, якщо ви думаєте, що найскладніше позаду, ви сильно помиляєтеся. В історії навіть зареєстровано випадок, коли самі творці шифрувальника не змогли допомогти користувачеві, який їм заплатив і відправили його до служби технічної підтримкиантивіруса.

Оптимальний варіант – це видалити усі дані та . От тільки, якщо такої копії немає, то доведеться покорпіти. А допоможуть вам програми дешифрувальники. Щоправда, жодна програма не може гарантувати стовідсотковий результат.

Існує декілька простих програм, які можуть впоратися з розшифровкою даних, наприклад Shadow Explorer або Windows Data recovery. Також варто заглянути в лабораторію Касперського, який періодично випускає декриптори - http://support.kaspersky.ru/viruses/utility

Дуже важливо! Запускайте програми декриптори тільки після видалення всіх проявів вірусу, інакше ризикуєте нашкодити системі або втратити дані знову.

Wanna decryptor показав, наскільки тендітною може бути система безпеки будь-якого великого підприємства або навіть державної установи. Тож травень місяць став показовим для багатьох країн. До речі, у МВС Росії постраждали тільки ті машини, які використовували Windows, а ті комп'ютери, на яких стояла операційна система російської розробки Ельбрус не постраждали.

А які методи лікування Wanna decryptor допомогли вам? Напишіть коментар до цієї статті та поділіться з іншими.

Підпишись на нові статті, щоб не пропустити!

Збір інформації.

12 травня почалася епідемія шкідливого ПЗ Wana Decryptor, який шифрує дані на комп'ютері користувача.

Як Wana Decryptor заражає комп'ютери?
Wana Decrypt0r використовує вразливість у службі SMB операційної системи Windows. Ця вразливість є у всіх сучасних версіях Windows, від Windows 7 до Windows 10.

Ця вразливість закривається патчем MS17-010(Оновлення безпеки для Windows SMB Server) який був ще випущений 14 березня 2017(якщо у вас відключено автоматичне оновлення, то встановіть патч вручну)

Завантажити виправлення безпеки.

Як працює Wana Decryptor.
Безкоштовно Автоматичний Malware Analysis Service - Powered by VxStream Sandbox - Відображення онлайн файлу analysis results for "@ [email protected]"

При першому запуску шкідливість витягує файл у ту ж папку, що й інсталятор. Файл є запаролений архів 7zipфайли з якого використовуються в роботі шкідливого ПЗ

У повідомленні про викуп використовується та сама мова, яку використовує користувач комп'ютера. на теперішній момент Wana Decrypt0r підтримує такі мови:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, Німеччина, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Російський, Slovak, Spanish, Swedish, Turkish, Vietnamese,

Далі WanaCrypt0rзавантажує TOR браузер (Download Tor), який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконано, вірус виконує команду, за допомогою якої встановлює повний доступдо всіх доступних каталогів та файлів.

CMD/BATCH:

Icacls. /grant Everyone:F /T /C /Q

Це необхідно для того, щоб зашифрувати якнайбільше файлів на зараженому комп'ютері.
А також намагається завершити такі процеси:

CMD/BATCH:

taskkill.exe /f /im mysqld.exe taskkill.exe /f /im sqlwriter.exe taskkill.exe /f /im sqlserver.exe taskkill.exe /f /im MSExchange* taskkill.exe /f /im Microsoft.Exchange. *

Це дозволить зашифрувати бази даних.

Здирник шифрує файли з наступними розширеннями

Код:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, . doc

Зашифровані файли мають додаткове розширення WNCRYпісля стандартного

Після шифрування файлів каталогу додаються два файли:

• @[email protected]- повідомлення здирника
• @[email protected]- дешифрувальник

Далі робиться спроба очистити тіньові копії та інші можливості відновити файли вбудованими засобами Windows(відновлення системи, резервні копіїі т.д.)

CMD/BATCH:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set (default) boostatuspolicy ignoreallfailures & bcdedit /set (default) recoveryenabled no & wbadmin delete catalog -quiet

!!При спробі виконати команди очищення спрацює запит UAC і якщо відповісти НІ, то команда не буде виконана, що дає високі шанси відновити інформацію.Якщо у вас вимкнено UAC (наприклад, якщо у вас серверна OS), то прийміть мої співчуття.

Коли користувач натиснув кнопку перевірити платіж, то здирник підключиться серверам TOR C2, щоб перевірити, чи було здійснено платіж. Якщо платіж було здійснено, файли будуть розшифровані в автоматичному режимі, якщо платіж не був зроблений, ви побачите відповідь, аналогічну наведеному нижче.

Як розшифрувати файли після WanaCrypt0r?
Якщо у запиті UAC ви відповіли ні, допоможе . Також допоможе програма ShadowExplorer.
на Наразінемає можливості розшифрувати файли без допомоги зловмисників якщо очищення тіньових копій.

Як запобігти зараженню шифрувальником-вимагачем?

1. Абсолютного захисту немає.
2. Не вимикайте автоматичне оновлення WindowsЦе дозволить оперативно (більш-менш) закривати вразливості OS.
3. Використовуйте антивірус або будьте готовими до ліквідації наслідків.
4. Не довіряйте нікомуу мережі, не відкривайте неперевірені файли, які ви отримали без антивірусної перевірки.
5. Використовуйте резервне копіювання, і чим важливіша інформаціятим більше уваги приділяйте питання безпеки копій.

Програма яка допоможе уникнути активації шифрувальника -

Добридень!

Видалити вірус WannaCrypt (Wana Decrypt0r 2.0) з комп'ютера нескладно, проста інструкціянижче підійде для будь-якої сучасної версії Windows. А ось розшифрувати файли. WNCRY безкоштовно поки що не можна. Усі великі виробники антивірусного програмного забезпеченняпрацюють над таким дешифратором, але жодного значного прогресу у цьому напрямі поки що немає.

Якщо ви видалите вірус з комп'ютера, то велика ймовірність, що зашифровані файли ви ніколи вже не зможете розшифрувати. WannaCrypt (Wana Decrypt0r 2.0) використовує дуже ефективні методи шифрування та шансів, що розроблять безкоштовний дешифрувальник не так вже й багато.

Вам необхідно вирішити, чи готові ви втратити зашифровані файли чи ні. Якщо готові – використовуйте інструкцію нижче, якщо не готові – платіть викуп творцям вірусу. У майбутньому обов'язково почніть використовувати будь-яку систему резервного копіюванняваших файлів та документів, їх зараз дуже багато, і платних, і безкоштовних.

1. Закрийте 445-й мережевий порт:

• Відкрийте командний рядок cmd від імені адміністратора (інструкція: ).
• Скопіюйте наступний текст: Netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445
• Вставте його в командний рядок і натисніть клавішу Enter, у відповідь система має написати "OK".

При увімкненому інтернеті, запускається на задньому плані фільм та реклама.

3. Налаштуйте відображення прихованих та системних папок, для цього:

• Натисніть одночасно клавіші Win R;
• Введіть у вікні "control.exe" та натисніть Enter;
• У пошуковому рядку Панелі Управління (праворуч нагорі) напишіть "Параметри провідника";
• Натисніть на ярлик "Параметри провідника" в основному вікні;
• У новому вікні перейдіть на вкладку "Вигляд";
• Знайдіть пункт "Приховані файли та папки" та виберіть "Показувати" приховані файли, папки та диски";
• Натисніть кнопку "Застосувати", а потім "ОК".

4. Відкрийте Провідник, послідовно перейдіть до папок:

• %ProgramData%
• %APPDATA%
• %TEMP%

(просто копіюйте кожну назву папки в адресний рядок провідника).

У кожній із зазначених папок уважно перегляньте всі вкладені папки та файли. Видаляйте все, що містить у назві згадку про вірусі WannaCrypt(Wana Decrypt0r 2.0).

Шукайте підозрілі записи реєстру в наступних папках:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

6. Перезавантажте комп'ютер.

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити