Вирус Wanna Cry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.

Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:

• коммерческих компаний;
• государственных структур;
• физических лиц.

Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:

• Индия;
• Украина;
• Россия.

За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.

Стоит ли ждать новой волны заражения и как обезопасить свой компьютер?

Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.

Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.

Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.

По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.

Профилактика и лечение

Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.

Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.

Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.

Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.

В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.

Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:

• выполнить специальный скрипт в утилите АВЗ;
• проверить настройки в системе HijackThis;
• запустить специализированное программное обеспечение Farbar Recovery Scan Tool.

При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.

Как обновить свою систему с точки зрения безопасности?

Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.

Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:

• 3210720;
• 3210721;

Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.

Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.

В данной статье вы узнаете о том, что делать если ваш компьютер атаковал вирус Wanna Cry, а также какие действия предпринимать, чтобы не потерять свои файлы на жестком диске.

Вирус Wcrypt — это вымогатель, который блокирует все файлы на зараженных компьютерах или в сетях и требует выкуп в обмен на решение для восстановления данных.

Первые версии этого вируса появились в феврале 2017 года, и теперь он имеет различные имена, такие как WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 или даже DarkoderCrypt0r.

Как только эта опасная программа пробирается в компьютерную систему, она криптует все данные, хранящиеся на ней за считанные секунды. Во время этой процедуры вирус может добавлять расширения файлов.Wcrypt в файлы, подверженные уязвимости.

Известно, что другие версии этого вируса добавляют расширения файлов.wcry или.wncry. Цель такой процедуры шифрования — сделать данные жертвы бесполезными и потребовать выкуп. Жертва может легко игнорировать инструмент вымогательства в случае, если у него есть резервная копия данных.

Однако в большинстве случаев компьютерные пользователи забывают своевременно создавать эти копии данных. В таком случае единственный способ восстановить зашифрованные файлы — это заплатить кибер-преступникам, однако мы настоятельно рекомендуем вам этого не делать.

Помните, что мошенничество обычно не проявляет интереса к взаимодействию с жертвой после получения выкупа, поскольку деньги — это все, что они ищут. Вместо этого мы предлагаем удалить вымогатель с помощью средств защиты от вредоносных программ, таких как Reimage или Plumbytes, в соответствии с руководством по удалению Wcrypt, которое мы предоставили ниже.

После шифрования всех файлов целевой системы вирус изменяет обои для рабочего стола с черным изображением с некоторым текстом, который говорит, что данные, хранящиеся на компьютере, были зашифрованы.

Изображение, аналогично последним версиям Cryptolocker, объясняет, как восстановить файл @WanaDecryptor.exe , если антивирусная программа помещает его в карантин. Затем вредоносная программа запускает сообщение для жертвы, в котором говорится: «Ой, ваши файлы были зашифрованы!» И предоставляет адрес кошелька биткойнов, цену выкупа (от 300 долларов США) и инструкции по покупке биткойнов. Вирус принимает выкуп только в криптовалюте биткойнов.

Однако, жертва должна заплатить его в течение трех дней с момента заражения. Вирус также обещает удалять все зашифрованные файлы, если жертва не заплатит за неделю. Поэтому мы предлагаем вам удалить Wcrypt как можно скорее, чтобы он не повредил файлы на вашем компьютере или ноутбуке.

Как происходит распространение вируса Wcrypt?

Wcrypt, которая также известна как WansCry ransomware, потрясла виртуальное сообщество 12 мая 2017 года. В этот день была проведена массовая кибератака против пользователей Microsoft Windows. Нападавшие использовали эксплойт EternalBlue для заражения компьютерных систем и захвата всех файлов жертвы.

Кроме того, сама выгода работает как работа, которая ищет подключенные компьютеры и реплицируется на них. Хотя на данный момент кажется, что вымогатель больше не атакует новых жертв (поскольку исследователь безопасности случайно остановил кибер-атаку), эксперты сообщают о том, что еще слишком рано радоваться.

Авторы вредоносного ПО могут скрывать еще один способ для распространения вируса, поэтому пользователи компьютеров должны принимать все возможные меры для защиты компьютера от такой кибер-атаки. Хотя мы обычно рекомендуем устанавливать программное обеспечение для защиты вашего ПК от вредоносных программ и регулярно обновлять все программы на нем.

Стоит заметить , что мы также, как и остальные рекомендуем создать копию ценных данных и перенести их на внешнее устройство хранения данных.

Как удалить вирус Wcrypt? Что делать, если на моем компьютере появился Wcrypt?

По причинам, упомянутым выше, вам необходимо как можно скорее удалить вирус Wcrypt. Хранить компьютер в системе небезопасно, так как он может быстро реплицировать на других компьютерах или портативных устройствах, если кто-то подключит их к взломанному ПК.

Самый безопасный способ завершить удаление Wcrypt — выполнить полную проверку системы с помощью антивирусного ПО. Чтобы запустить его, вы должны сначала подготовить компьютер. Следуйте этим инструкциям, чтобы полностью удалить вирус.

Способ 1. Удаление WCrypt в безопасном режиме с помощью сети

• Шаг 1. Перезагрузите компьютер в безопасном режиме с помощью сети.

Windows 7 / Vista / XP

1. Нажмите Пуск → Выключить → Перезапустить → OK .
2. Когда появится экран, начните нажимать F8 .
3. В списке выберите Безопасный режим с загрузкой сетевых драйверов.

Windows 10 / Windows 8

1. Shift «Перезагрузить».
2. Теперь выберите «Устранение неполадок» → «Дополнительные параметры» → «Настройки автозагрузки» и нажмите .
3. «Включить безопасный режим с загрузкой сетевых драйверов» в окне «Параметры загрузки».

• Шаг 2: Удалите WCrypt

Войдите в свою зараженную учетную запись и запустите браузер. или другую законную антишпионскую программу. Обновите его перед полным сканированием системы и удалите вредоносные файлы.

Если WCrypt блокирует безопасный режим с загрузкой сетевых драйверов, попробуйте использовать другой метод.

Способ 2. Удаление WCrypt с помощью функции «Восстановление системы»

• Шаг 1. Перезагрузите компьютер в безопасном режиме с помощью командной строки.

Windows 7 / Vista / XP

1. Нажмите Пуск → Выключение → Перезагрузить → OK .
2. Когда ваш компьютер станет активным, начните нажимать F8 несколько раз, пока не увидите окно «Дополнительные параметры загрузки» .
3. Выберите «Безопасный режим с поддержкой командной строки» из списка.

Windows 10 / Windows 8

1. Нажмите кнопку питания на экране входа в Windows. Теперь нажмите и удерживайте Shift , который находится на вашей клавиатуре, и нажмите «Перезагрузить» .
2. Теперь выберите «Устранение неполадок» → «Дополнительные параметры» → «Настройки автозагрузки» и нажмите .
3. Когда ваш компьютер станет активным, выберите «Включить безопасный режим с поддержкой командной строки» в окне «Параметры загрузки».

• Шаг 2. Восстановите системные файлы и настройки.

1. Когда появится окно командной строки, введите cd restore и нажмите Enter.

2. Теперь введите rstrui.exe и снова нажмите Enter.

3. Когда появится новое окно, нажмите «Далее» и выберите точку восстановления, предшествующую инфильтрации WCrypt. После этого нажмите «Далее».

4. Теперь нажмите «Да» , чтобы продолжит процесс.

5. После этого нажмите на кнопку «Готово» , чтобы запустить восстановление системы.

• После восстановления системы до предыдущей даты загрузите и отсканируйте компьютер с помощью Reimage и убедитесь, что удаление WCrypt выполнено успешно.

Надеемся, что данная статья помогла вам решить проблему с вирусом WCrypt!

Видео: Вирус Wanna Cry продолжает заражать компьютерные системы по всему миру

12 мая компьютеры по всему миру подверглись масштабной кибератаке. Вредоносная хакерская программа Wanna Cry, также известная, как WanaCrypt0r 2.0 или WCry, или Wana Decryptor («хочу плакать»), которая поражает только те устройства, на которых установлена ОС Windows, шифрует данные и требует за их восстановление деньги. Жители Кирова подверглись атаке глобального вируса, получившего название Wanna Cry. Сообщения от пострадавших появились в паблике «ЗК — ЗЛОЙ КИРОВЧАНИН (18+) КИРОВ». Вирусная атака сегодня продолжает волновать россиян. …Вирус Wanna Cry, как работает О том, как распространяется вирус Wanna Cry уже точно известно – через электронную почту.

как обезопасить свой компьютер от атаковавшего весь мир вируса wanna cry

От владельцев зараженных компьютеров требуют перевести деньги. …Кибератака на Россию сегодня активно обсуждается в сети, ведь от нее пострадали десятки тысяч человек.

Новый вирус Wanna cry заставил плакать миллионы пользователей ПК. Вредоносная программа начала распространяться с Великобритании и, конечно, успела дойти до нашей страны.

В последние дни в мире начал массово распространяться вирус Wanna Cry. …Вирус Wanna Cry: как распространяется, патч microsoft windows 7 Британскому специалисту компании Proofpoint Дэриен Хасс удалось установить массовое распространение вируса по сети.

Вирусная атака сегодня продолжает волновать россиян. …Вирус Wanna Cry, как работает О том, как распространяется вирус Wanna Cry уже точно известно – через электронную почту.

Вирус Wanna Cry продолжает охватывать все больше стран, блокируя и заражая компьютерные системы по всему миру. На сегодня насчитывается 37 стран, чьи системы подверглись атаке вируса.В России были атакованы серверы МВД, Сбербанка и МЧС.

12 мая компьютеры по всему миру подверглись масштабной кибератаке. Вредоносная хакерская программа Wanna Cry, также известная, как WanaCrypt0r 2.0 или WCry, или Wana Decryptor («хочу плакать»), которая поражает только те устройства, на которых установлена ОС Windows, шифрует данные и требует за их восстановление деньги.

Она признана одним из самых масштабных кибер-вирусов, повреждающих официальные сервера компаний-гигантов и государственных ведомств, однако, среди пострадавших известны также и простые граждане с обычными домашними компьютерами. …А вот в МВД факт атаки признали, подтвердив, что в ее следствии повреждены оказались порядка тысячи компьютеров, но вирус вовремя удалось локализовать.

Жители Кирова подверглись атаке глобального вируса, получившего название Wanna Cry. Сообщения от пострадавших появились в паблике «ЗК — ЗЛОЙ КИРОВЧАНИН (18+) КИРОВ».

Вирус Wanna Cry – новый вид хакерской атаки, которая была совершена на компьютеры министерств и ведомств в разных странах мира. По сути, это вредоносная программа-вымогатель, которая блокирует работу ПК и требует за восстановление деньги в биткоинах.

Да, этот вирус прокричал на весь мир 12 мая очень громко. Wanna Cry оказался не тем вирусом, который тихо и спокойно распространяется себе по миру от компьютера к компьютеру, с которым постепенно обучаются работать антивирусы и который со временем становится одним из фигурантов таблицы распознаваемых вирусов.

Нет, здесь всё гораздо сложнее. Вирус буквально в несколько часов распространился по всему миру. Особенно пострадали Россия и Китай, какое-то время держалась Австралия, но и она угодила в эту «яму».

Дело дошло до выступлений ведущих политиков мира. Громогласное заявление сделал и один из руководителей Microsoft, прямо обвинивший спецслужбы США в безответственном поведении. Дело в том, что, оказывается, американское ФБР в течение последних нескольких лет вело исследования системы Windows на наличие всевозможных недоработок и лазеек. Для своих целей, конечно. И лазейки были найдены – в Microsoft тоже работают не боги, им тоже свойственно ошибаться.

Проблема только в том, что каким-то образом изыскания сыщиков США вдруг стали известны всему компьютерному миру, вернее тому, кто нашёл возможность на них поживиться.

Собственно говоря, способ распространения вируса Wanna Cry традиционен:

Может запускаться wannacry и через незнакомые exe- или js-файлы, заражение, возможно, происходит и через графический файл (а что может быть заманчивее, чем sexy-картинка).

Известны случаи, когда инфицирование произошло просто потому, что компьютер был в сети. Не обходит он своим внимание и облачные технологии – полностью оказались посрамлены её проповедники, они не так уж и защищены, как об этом нам постоянно говорится. В общем, при первом взгляде на складывающуюся ситуацию – край, из которого нет выхода, спереди стена, а назад некуда.

Сначала создавалось впечатление, что объектом внимания вируса становится только системный диск “C:” . Но по мере развития ситуации оказалось, что вирус распространился и на съёмные диски, что неожиданно – на Windows 10. Про флешки и говорить не приходится, они просто «горят, как свечки».

Как проявляется

Вирус шифровальщик wanna cry, заразивший ПК , проявляет себя следующим образом:

Во-первых, подвергшийся атаке файл получает новое расширение – «.wncry».

Во-вторых, первые восемь символов в имени файла дополняются строкой «wanacry!».

В-третьих, и это самое главное, вирус шифрует содержимое файла, причём таким образом, что вылечить его не представляется возможным, по крайней мере, за приемлемый отрезок времени. А он оказался достаточен, чтобы создать проблемы в работе медиков в Великобритании, полиции в России, управленцев электронных заводов в Китае.

В-четвёртых, а это уже просто банально и пройдено не одну сотню раз «пацанами» от программирования – они требуют за то, чтобы восстановить файлы, от 300 до 500 долларов, которые нужно перечислить с использованием BitCoin. Говорят, человек 100 всё-таки это сделали, капля в море относительно общей массы требующих лечения, вероятно, умышленники зла рассчитывали на гораздо большее.

Всё, что необходимо делать, вирус вам сообщает в отдельном окне под звучным заголовком «Ooops, your files have been encrypted!». Причём, эти горе-разработчики позаботились об услуге локализации: текст для немцев – на немецком, для новозеландцев – на английском, русские же читали его на русском. Уже только по построению фраз опытные лингвисты могут определить, откуда родом эти кибербандиты.

Для решения задачи, как восстановить информацию касперский или тем более любой из известных шифровальщиков не подойдут. Избавиться от вируса простым удалением файла тоже не срабатывает.

Что делать в первые моменты

Как только появилось подозрение, что wannacry, через Брисбен и Калькутту, пришёл и к вам на улицу Лизюкова, ещё до, собственно, лечения, сделайте следующее:

Что делать всегда, пока не клюнул

И снова вспомните о тех операциях, о которых вам постоянно талдычит системщик:

1. Постоянно следите за последними обновлениями используемого программного обеспечения, системы, в первую очередь, и устанавливайте на своём ноутбуке. Кстати, Microsoft очень оперативно предложило метод, как лечить wanna cry – скачать и поставить последнюю версию системы Windows 10 с оперативно сделанными изменениями. Пусть подробного описания вируса wanna cry, это, скорее, к разработчикам антивирусов, пока и нет, пусть ещё непонятно, как расшифровать файлы, но в Пало-Альто очень оперативно внедрили заплатки в свои программные продукты.
2. Постоянно создавайте резервные копии своей самой важной информации. Должно стать за правило таким образом бороться с вирусами – каждый вторник и пятницу, ровно в 15:00, все текущие работы прекращаются и создаются резервные копии. Если такое правило не завести, то завтра плакать уже придётся о потерянных 100 миллионах прибыли и думать, как удалить вирус, не по поводу wanna cry, а по поводу Market Applause или чего-либо другого.
3. Если не работаете в сети, то отключайтесь от неё, ведь, что греха таить, мы постоянно подключены к скайпу, к «контактам», просто по привычке, а вдруг кто-нибудь да позвонит. Не забывайте отменять активацию .

Да, wanna cry не сделал ничего нового – всё то же желание денег, всё то же желание прославиться (хотя слава-то дальше «кухни» не уйдёт), всё та же игра на беспечности и раздрая в мире, от ФБР и Госдепа США до плохо организованной работе с резервным копированием и защитой информации.

WannaCry - специальная программа, которая блокирует все данные в системе и оставляет пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor - инструмент для разблокировки данных.

Большинство компаний, занимающихся компьютерной безопасностью, имеют инструменты дешифровки выкупа, которые могут обходить программное обеспечение. Для обычных смертных способ «лечения» пока неизвестен.

WannaCry Decryptor (или WinCry, WannaCry, .wcry, WCrypt , WNCRY, WanaCrypt0r 2.0), уже называют «вирусом 2017 года». И совсем не безосновательно. Только за первые 24 часа с момента начала своего распространения - данный шифровальщик поразил больше 45000 компьютеров. Некоторые же исследователи считают что на данный момент (15 мая) заражено уже больше миллиона компьютеров и серверов. Напомним, что вирус начал распространятся 12 мая. Первыми пострадали пользователи из России, Украины, Индии и Тайваня. На данный же момент вирус с большой скоростью распространяется в Европе, США и Китае.

Была зашифрована информация на компьютерах и серверах государственных учреждений (в частности МВД России), госпиталей, транснациональных корпораций, университетов и школ.

Wana Decryptor (Wanna Cry или Wana Decrypt0r) парализовал работу сотен компаний и госучреждений во всем мире

По сути WinCry (WannaCry) - это эксплоит семейства EternalBlue, который использует довольно-таки старую уязвимость операционной системы Windows (Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10) и в «тихом» режиме загружает себя в систему. После чего с помощью стойких к расшифровке алгоритмов шифрует данные пользователей (документы, фото, видео, электронные таблицы, базы данных) и требует выкуп за расшифровку данных. Схема не нова, мы постоянно пишем о новых разновидностях шифровальщиков файлов - но вот метод распространения новый. И это привело к эпидемии.

Как работает вирус

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Кстати, данные пути не отслеживаются современными антивирусными программами, что и сделало заражение настолько массовым. И это огромный булыжник в огород разработчиков антивирусного ПО. Как можно было такое допустить? Вы за что деньги берете?

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем, WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry . Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткоинах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров.

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi , позволяющую расшифровать файлы без выкупа.

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch, - программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.) русск. , 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично заблокировать распространение данной модификации вредоносной программы. 14 мая был зарегистрирован и второй домен. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предпологать, происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был поврежден механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный вред.

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010 . Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 - начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).

Распространение вируса WannaCry

Вирус может распространятся различными способами:

• Через единую компьютерную сеть;
• Через почту;
• Через браузер.

Лично, мне не совсем понятно, почему сетевое соединение не сканируется антивирусом. Такой же способ заражение, как через посещение сайта или браузер — доказывает беспомощность разработчиков и то, что запрашиваемые средства на лицензионное ПО для защиты ПК ничем не оправданы.

Симптомы заражения и лечение вируса

После успешной установки на ПК пользователя WannaCry пытается распространяться по локальной сети на другие ПК, как червь. Зашифрованные файлы получают системное расширение.WCRY и становятся полностью нечитаемыми и расшифровать их самостоятельно не предоставляется возможным. После полного шифрования Wcry меняет обои рабочего стола и оставляет «инструкции» по расшифровке файлов в папках с зашифрованными данными.

Поначалу хакеры вымогали $300 за ключи расшифровки, но потом подняли эту цифру до $600.

Как предостеречь заражение вашего ПК шифровальщиком WannaCry Decryptor?

Скачать обновление операционной системы с сайта Microsoft.

Что делать ес ли Ваш ПК заражен?

Используйте инструкции ниже для того чтобы попытаться восстановить хотя-бы часть информации на зараженном ПК. Обновите антивирус и установите патч операционной системы . Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп - никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Удалить шифровальщик WannaCry с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

1. Загрузить программу для удаления вируса WannaCry . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика WannaCry .
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция «Восстановление системы» должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя WannaCry

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Расшифровка

А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((

Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет:

«Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.»

Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена

Создатели вируса-вымогателя WannaCry, от которого пострадали компьютеры в более чем 70 странах, выпустили его новую версию. В ней отсутствует код для обращения к бессмысленному домену, с помощью которого удалось предотвратить распространение оригинального вируса, пишет Motherboard. Издание получило подтверждение о появлении новой версии вируса от двух специалистов, которые изучали новые случаи заражения компьютеров. Один из них - Костин Райю (Costin Raiu), руководитель международной исследовательской команды «Лаборатории Касперского».

Специалисты не уточнили, появились ли в WannaCry какие-либо другие изменения.