Възстановяване на криптирани данни с WannaCry Ransomware: възможност и решение. Намерен е начин за дешифриране на файлове след атаката на WannaCry. Проверка за корекция, която затваря уязвимостта на WannaCry

Новият криптиращ вирус WannaCry или WanaDecryptor 2.0, който оставя криптирани .wncry файлове вместо потребителски данни, разтърсва интернет. Засегнати са стотици хиляди компютри и лаптопи по света. Засегнати бяха не само обикновените потребители, но и мрежите на такива големи компании като Сбербанк, Ростелеком, Билайн, Мегафон, Руските железници и дори руското Министерство на вътрешните работи.

Такова масово разпространение на вируса рансъмуер беше осигурено от използването на нови уязвимости в операционните системи от семейството Windows, които бяха разсекретени с документи от американските разузнавателни агенции.

WanaDecryptor, Wanna Cry, WanaCrypt или Wana Decryptor - кое е правилното име?

По времето, когато започна вирусната атака в глобалната мрежа, никой не знаеше как точно се казва новата инфекция. Отначало тя се обади Wana Decrypt0rпо името на прозореца със съобщението, което се появи на работния плот. Малко по-късно се появи нова модификация на шифратора - Wanna Decrypt0r 2.0. Но отново, това е прозорец за рансъмуер, който всъщност продава на потребителя ключ за дешифриране, който теоретично трябва да дойде при жертвата, след като преведе необходимата сума на измамниците. Самият вирус, както се оказа, се нарича Wanna Cry (Bath Edge).
В интернет все още можете да намерите различните му имена. И често потребителите вместо буквата „o“ поставят цифрата „0“ и обратно. Освен това различни космически манипулации, като WanaDecryptor и Wana Decryptor, или WannaCry и Wanna Cry, правят много объркване.

Как работи WanaDecryptor

Начинът, по който работи този рансъмуер, е фундаментално различен от предишния рансъмуер, с който сме се сблъсквали. Преди това, за да започне инфекцията да работи на компютър, тя трябваше първо да бъде стартирана. Тоест потребителят с уши получи писмо по пощата с хитър прикачен файл - скрипт, маскиран като някакъв документ. Човекът стартира изпълнимия файл и по този начин активира инфекцията на операционната система. Вирусът Vanna Edge работи по различен начин. Не е нужно да се опитва да заблуди потребителя, достатъчно е да има критична уязвимост в услугата за споделяне на файлове SMBv1, използвайки 445-ия порт. Между другото, тази уязвимост стана достъпна благодарение на информация от архивите на американските разузнавателни агенции, публикувана на уебсайта wikileaks.
Веднъж попаднал на компютъра на жертвата, WannaCrypt започва масово да криптира файлове със своя много силен алгоритъм. Основно засегнати са следните формати:

ключ, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, архивиране, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Разширението на шифрования файл е променено на .wncry. Вирусът рансъмуер може да добави още два файла към всяка папка. Първата е инструкция, която описва как да декриптирате файла wncry Please_Read_Me.txt, а втората е приложението за декриптиране WanaDecryptor.exe.
Този мръсен трик работи тихо и мирно, докато не удари цялото HDD, след което ще покаже прозореца WanaDecrypt0r 2.0 с изискването за даване на пари. Ако потребителят не му е позволил да го завърши и антивирусът е успял да премахне криптиращата програма, на работния плот ще се появи следното съобщение:

Тоест, потребителят е предупреден, че някои от неговите файлове вече са били засегнати и ако искате да ги върнете, върнете криптора обратно. Да, сега! В никакъв случай не правете това, в противен случай ще загубите останалото. внимание! Никой не знае как да дешифрира WNCRY файлове. Чао. Може би по-късно ще се появи някакъв инструмент за дешифриране - изчакайте и вижте.

Защита от вируси Wanna Cry

Като цяло корекцията Microsoft MS17-010 за защита срещу рансъмуера Wanna Decryptor беше пусната на 12 май и ако услугата е актуализации на windowsтогава работи добре
най-вероятно операционната система вече е защитена. В противен случай трябва да изтеглите тази корекция на Microsoft за вашата версия на Windows и да я инсталирате спешно.
След това е желателно да деактивирате поддръжката на SMBv1 напълно. Поне докато отшуми вълната на епидемията и ситуацията се уталожи. Можете да направите това или от командния ред с права на администратор, като въведете командата:

dism /онлайн /norestart /disable-feature /featurename:SMB1Protocol

Или чрез контролния панел на Windows. Там трябва да отидете в секцията „Програми и функции“, да изберете „Включване или изключване на функции на Windows“ от менюто. Ще се появи прозорец:

Намираме елемента „Поддръжка за споделяне на файлове SMB 1.0 / CIFS“, премахнете отметката от него и кликнете върху „OK“.

Ако внезапно възникнат проблеми с деактивирането на поддръжката на SMBv1, тогава можете да отидете по друг начин, за да се защитите срещу Wanacrypt0r 2.0. Създайте правило в защитната стена на вашата система, което блокира портове 135 и 445. За стандартната защитна стена на Windows въведете следното в командния ред:

netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=TCP localport=135 name="Close_TCP-135"
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=TCP localport=445 name="Close_TCP-445"

Друг вариант е да използвате специален безплатно приложение Windows Worms Doors Cleaner :

Не изисква инсталация и ви позволява лесно да блокирате пропуските в системата, през които вирусът рансъмуер може да пропълзи в нея.

И разбира се, не трябва да забравяме антивирусната защита. Използвайте само доказани антивирусни продукти - DrWeb, Kaspersky Internet Security, E-SET Nod32. Ако вече имате инсталирана антивирусна програма, не забравяйте да актуализирате нейните бази данни:

Накрая ще ви дам малък съвет. Ако имате много важни данни, които е крайно нежелателно да губите, запишете ги на подвижен твърд диск и ги поставете в гардероб. Поне по време на епидемията. Това е единственият начин по някакъв начин да се гарантира тяхната безопасност, защото никой не знае каква ще бъде следващата модификация.

Този ransomware криптира потребителски данни с AES и след това изисква откуп от $200 в BTC, за да върне файловете обратно. оригинално име: Crypto. Във файла пише: няма данни.

© Генеалогия: >> Криптър

Разширението се добавя към криптирани файлове. .шифрован, но не до края на файла, а между оригиналното име и оригиналното файлово разширение според модела original_file_name .шифрован.разширение_оригинален_файл.

внимание!Нови разширения, имейли и текстове за откуп могат да бъдат намерени в края на статията, в актуализации. Възможно е да има разлики от оригиналната версия.

Активността на този крипто-рансъмуер се случи в средата на декември 2018 г. Той е насочен към англоговорящи потребители, което не му пречи да се разпространи по света.

Бележката за откуп е заключен екран:

Съдържанието на текста за откупа:
Вашите файлове са безопасно шифровани

Единственият начин да възстановите вашите файлове е да закупите ключ за декриптиране
Методът на плащане е: биткойни. Цената е: $200 = 0,05718488 биткойни
Кликнете върху бутона „Купете ключ за декриптиране“.

Преводтекстна руски език:
Вашите файлове са сигурно криптирани
[Купете биткойни] [Декриптирайте файлове]
[Ключ за дешифриране]
Единственият начин да възстановите вашите файлове е да закупите ключ за дешифриране
Начин на плащане: биткойни. Цена: $200 = 0,05718488 биткойн.
Кликнете върху бутона" Купете ключ за дешифриране" .

Технически подробности

Може да се разпространява чрез хакване чрез несигурна конфигурация на RDP, спам по имейл и злонамерени прикачени файлове, фалшиви изтегляния, ботнет мрежи, експлойти, уеб инжекции, фалшиви актуализации, преопаковани и заразени инсталатори. Вижте също „Основни методи за разпространение на ransomware“ на страницата на уводния блог.

Ако пренебрегнете комплекса антивирусна защитаклас Internet Security или Total Security, тогава поне направете архивираневажни файлове по метод 3-2-1 .


Премахва скрити копия на файлове, деактивира функциите за възстановяване и Windows корекциина етапа на зареждане с командите:
CmdLine>>
vssadmin.exe Изтриване на сенки /Всички /Тихи
bcdedit /set (по подразбиране) recoveryenabled No
bcdedit /set (по подразбиране) bootstatuspolicy ignoreal

Списък на файловите разширения, подлежащи на криптиране:
Това са документи на MS Office, OpenOffice, PDF, текстови файлове, бази данни, снимки, музика, видео, файлове с изображения, архиви и др.

Файлове, свързани с този ransomware:
Windows Update.exe
.exe - произволно име

местоположения:
\Desktop\ ->
\Потребителски_папки\ ->
\%TEMP%\ ->

Записи в регистъра, свързани с този ransomware:


Мрежови връзки и комуникации:
Вижте актуализации по-долу за други адреси и контакти.
Вижте по-долу за резултатите от теста.

Резултати от тестовете:
Ⓗ Хибриден анализ >>
𝚺

Специалистът на Quarkslab от френската компания Адриен Гине съобщава, че е намерил начин да декриптира данни, засегнати от ransomware атака. За съжаление, този метод работи само за операционна система Windows XP и то не във всички случаи, но вече е по-добре от нищо.

Трябва да завърша пълния процес на дешифриране, но потвърждавам, че в този случай личният ключ може да бъде възстановен на система XP #искам да плача!! pic.twitter.com/QiB3Q1NYpS

Guinier публикува изходния код за инструмента в GitHub, който той нарича WannaKey. Методологията на изследователя всъщност се основава на експлоатацията на доста странен и малко известен бъг в Windows XP, за който, изглежда, дори авторите на сензационния рансъмуер не са знаели. Факт е, че при определени обстоятелства от паметта на машина, работеща с XP, можете да извлечете ключа, необходим за "спасяване" на файлове.

Изследователят обяснява, че по време на работа шифраторът използва Windows Crypto API и генерира двойка ключове - публичен, който се използва за криптиране на файлове, и частен, с който след плащане на откуп файловете могат да бъдат декриптирани. За да попречат на жертвите да стигнат до личния ключ и да декриптират данните преди време, авторите на WannaCry криптират самия ключ, така че да стане достъпен само след плащане.

След като ключът е криптиран, неговата некриптирана версия се изтрива с помощта на стандартната функция CryptReleaseContext, която на теория също трябва да го изтрие от паметта на заразената машина. Гиние обаче забеляза, че това не се случва, а само "маркерът", сочещ към ключа, се премахва.

Специалистът пише, че е възможно да се извлече частният ключ от паметта. Самият Guinier проведе серия от тестове и успешно дешифрира файлове на няколко заразени компютъра, работещи под Windows XP. Изследователят обаче пише, че за успешен изход от операцията трябва да бъдат изпълнени редица условия. Тъй като ключът се съхранява само в енергонезависима памет, не само трябва да се страхувате, че някой процес може случайно да презапише данни върху ключа и паметта ще бъде преразпределена, но също така не трябва да изключвате и рестартирате компютъра след заразяване.

„Ако имате късмет, може да имате достъп до тези области на паметта и да възстановите ключа. Може все още да е там и можете да го използвате за дешифриране на файлове. Но това не работи във всички случаи“, пише изследователят.

Не е известно колко компютри с Windows XP са били заразени с WannaCry и какъв процент от потребителите никога не са рестартирали или изключвали компютъра си след заразяване. Позволете ми да ви напомня, че общо стотици хиляди машини пострадаха от атаки на ransomware в повече от сто страни по света. Въпреки това Гиние се надява, че неговата техника може да бъде полезна поне за някои потребители.

Други експерти вече потвърдиха, че на теория инструментът на Гиние трябва да работи. И така, известният криптограф и професор от университета Джон Хопкинс Матю Грийн пише, че методът трябва да работи, въпреки че при сегашните обстоятелства всичко изглежда по-скоро като лотария. Друг известен специалист, служител на F-Secure, Мико Хипонен задава въпроса „защо да използвате функция, която не унищожава ключове, за да унищожавате ключове?“ Той обаче се съгласява, че грешка може да се използва за възстановяване на криптирани файлове.

Както съобщават руски медии, работата на отделите на Министерството на вътрешните работи в няколко региона на Русия е била нарушена поради софтуер за откуп, който удари много компютри и заплаши да унищожи всички данни. Освен това телекомуникационният оператор MegaFon беше атакуван.

Говорим за троянския кон WCry ransomware (WannaCry или WannaCryptor). Той криптира информация на компютър и иска откуп от $300 или $600 в биткойни, за да я дешифрира.

@[имейл защитен], криптирани файлове, разширение WNCRY. Изисква помощна програма и инструкции за дешифриране.

WannaCry криптира файлове и документи със следните разширения, като добавя .WCRY в края на името на файла:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry атака по целия свят

Атаки са регистрирани в над 100 държави. Най-големи проблеми изпитват Русия, Украйна и Индия. Съобщения за вирусна инфекция идват от Великобритания, САЩ, Китай, Испания, Италия. Отбелязва се, че хакерската атака е засегнала болници и телекомуникационни компании по целия свят. Интерактивна карта на разпространението на заплахата WannaCrypt е достъпна в интернет.

Как възниква инфекцията

Както казват потребителите, вирусът влиза в компютрите им без никакво действие от тяхна страна и се разпространява неконтролируемо в мрежите. Форумът на Kaspersky Lab показва, че дори включената антивирусна програма не гарантира сигурност.

Съобщава се, че нападението Рансъмуер WannaCry(Wana Decryptor) възниква чрез уязвимостта MS17-010 на Microsoft Security Bulletin. След това на заразената система е инсталиран руткит, чрез който нападателите стартират програмата за криптиране. Всички решения на Kaspersky Lab откриват този руткит като MEM:Trojan.Win64.EquationDrug.gen.

Предполага се, че заразяването е станало няколко дни по-рано, но вирусът се е проявил едва след като е шифровал всички файлове на компютъра.

Как да премахнете WanaDecryptor

Най-много ще можете да премахнете заплахата с антивирусна програма антивирусни програмивече са наясно със заплахата. Често срещани определения:

Avast Win32:WanaCry-A, СР Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoftоткуп: Win32/WannaCrypt, Панда Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ако вече сте стартирали заплахата на вашия компютър и вашите файлове са били криптирани, декриптирането на файловете е почти невъзможно, тъй като използването на уязвимостта задейства мрежов криптатор. Въпреки това вече са налични няколко опции за инструменти за дешифриране:

Забележка: Ако вашите файлове са криптирани и резервно копиелипсват и съществуващите инструменти за декриптиране не помогнаха, препоръчително е да запазите криптираните файлове, преди да почистите заплахата на компютъра. Те ще бъдат полезни, ако в бъдеще бъде създаден инструмент за дешифриране, който работи за вас.

Microsoft: Инсталирайте актуализации на Windows

Microsoft каза, че потребителите с безплатната антивирусна програма на компанията и функцията за актуализиране са включени Windows системище бъдат защитени от атаки на WannaCryptor.

Актуализациите от 14 март затварят уязвимостта на системата, чрез която се разпространява троянският кон за откуп. Днес откриването беше добавено към антивирусната програма Бази на MicrosoftОсновни неща за сигурността / Windows Defenderза защита срещу нов зловреден софтуер, известен като Ransom:Win32.WannaCrypt.

• Уверете се, че антивирусната програма е активирана и инсталирана Последни актуализации.
• Инсталирайте безплатна антивирусна програма, ако няма защита на компютъра.
• Инсталирайте най-новите системни актуализации от Windows Update:
  • За Windows 7, 8.1От менюто "Старт" отворете контролния панел > Windows Update и щракнете върху "Търсене на актуализации".
  • За Windows 10Отидете в Настройки > Актуализиране и защита и щракнете върху „Проверка за актуализации“.
• Ако инсталирате актуализации ръчно, инсталирайте официалния пач MS17-010 от Microsoft, който затваря уязвимостта на SMB сървъра, използвана при атаката на рансъмуер WanaDecryptor.
• Ако вашата антивирусна програма има защита от ransomware, активирайте я. Нашият сайт също има отделен раздел Anti-Ransomware, където можете да изтеглите безплатни инструменти.
• Извършете сканиране на системата за вируси.

Експертите отбелязват, че най-лесният начин да се предпазите от атака е да затворите порт 445.

• Въведете sc stop lanmanserver и натиснете Enter
• Въведете за Windows 10: sc config lanmanserver start=disabled, за други Windows версии: sc config lanmanserver start= disabled и натиснете Enter
• Рестартирайте компютъра си
• В командния ред въведете netstat -n -a | findstr "СЛУШАНЕ" | findstr ":445", за да се уверите, че портът е деактивиран. Ако има празни редове, портът не слуша.

Ако е необходимо, отворете порта обратно:

• Бягай командна линия(cmd.exe) като администратор
• Въведете за Windows 10: sc config lanmanserver start=auto , за други версии на Windows: sc config lanmanserver start= auto и натиснете Enter
• Рестартирайте компютъра си

Забележка: Порт 445 се използва от Windows за споделяне на файлове. Затварянето на този порт не пречи на компютъра да се свързва с други отдалечени ресурси, но други компютри няма да могат да се свържат с тази система.