منو
خانهصفحه کلید

نحوه رمزگشایی فایل ها پس از WannaCry ویروس رمزگذار فایل Wanna Cry - نحوه محافظت از خود و ذخیره داده ها بازیابی فایل های رمزگذاری شده wanna decryptor 2

خبر روزهای آخر که همه چیز را در دنیا به هم ریخت، حمله ویروس Wanna Decrypt0r است. چیز تیز و بی رحم است. بنابراین اگر به اندازه کافی خوش شانس بودید که آن را نگرفتید و مدت زیادی است که سیستم عامل را به روز نکرده اید، فوراً آخرین نسخه را قرار دهید به روز رسانی های امنیتی. در عین حال، در هر صورت، می‌توانید به صورت دستی درگاه‌هایی را که باج‌افزار از طریق آن‌ها به قربانیان خود راه پیدا می‌کند، مسدود کنید.

اطلاعات بیشتر در مورد ویروس، کار، توزیع و سودآوری آن را می توانید در اینجا بیابید:

اقدامات حفاظتی

به عنوان مثال، این کار را می توان با دستورات زیر انجام داد:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

دستورات دسترسی به پورت های TCP 135 و 445 را مسدود می کنند. ویروس از طریق آنها در شبکه های محلی پخش می شود.

به هر حال، از یک خبر خوب - این چیز فایل های Tekla را رمزگذاری نمی کند. اما DWG و 3ds بسیار یکنواخت هستند. دلیل دیگری برای مدل سازی با Tekla Structures.

UPD 1

برای نسخه های دزدی win7 پچ کنید تا خراب نشود صفحه آبیپس از نصب وصله های wannaCry:

بررسی وصله‌ای که آسیب‌پذیری WannaCry را می‌بندد

  • لینک بالا را دنبال کنید و کد به روز رسانی سیستم خود را بررسی کنید، مانند ویندوز 7 یا ویندوز سرور 2008 R2، کد 4012212 یا 4012215 خواهد بود.
  • cmd.exe را باز کنید ( خط فرمان)
  • بنویسید: wmic qfe list | findstr4012212
  • Enter را فشار دهید
  • اگر چیزی شبیه به این را در پاسخ مشاهده کردید، به این معنی است که شما قبلاً پچ را نصب کرده‌اید و می‌توانید با آرامش بخوابید: http://support.microsoft.com/?kbid=4012212 به‌روزرسانی امنیتی P2 KB4012212 NT AUTHORITY\system 3/18 /2017
  • اگر پاسخ یک رشته خالی را به شما بازگرداند، پچ بعدی را از لیست بررسی کنید
  • اگر هیچ وصله ای یافت نشد، توصیه می شود فوراً به روز رسانی نرم افزار را نصب کنید.

می خواهی گریه کنی- برنامه ویژه، که تمام داده های سیستم را مسدود می کند و تنها دو فایل را برای کاربر باقی می گذارد: دستورالعمل هایی در مورد کارهای بعدی و خود برنامه Wanna Decryptor - ابزاری برای باز کردن قفل داده ها.

اکثر شرکت‌های امنیت رایانه ابزارهای رمزگشایی باج‌افزاری دارند که می‌توانند نرم‌افزار را دور بزنند. برای انسان های معمولی، روش "درمان" هنوز ناشناخته است.

رمزگشای WannaCry(یا WinCry، WannaCry، .wcry، WCrypt، WNCRY، WanaCrypt0r 2.0)،قبلاً "ویروس 2017" نامیده می شود. و اصلا غیر منطقی نیست تنها در 24 ساعت اول پس از شروع توزیع، این باج افزار به بیش از 45000 رایانه رسید. برخی از محققین نیز این موضوع را در نظر می گیرند این لحظه(15 مه) بیش از یک میلیون رایانه و سرور قبلاً آلوده شده اند. به یاد بیاورید که ویروس از 12 می شروع به گسترش کرد. کاربران روسیه، اوکراین، هند و تایوان اولین کسانی بودند که آسیب دیدند. همزمان این ویروس در اروپا، آمریکا و چین با سرعت بالایی در حال انتشار است.

اطلاعات رایانه ها و سرورها رمزگذاری شده بود نهادهای عمومی(به ویژه وزارت امور داخلی روسیه)، بیمارستان ها، شرکت های فراملی، دانشگاه ها و مدارس.

Wana Decryptor (Wanna Cry یا Wana Decrypt0r) کار صدها شرکت و سازمان دولتی را در سراسر جهان فلج کرد.

در واقع، WinCry (WannaCry) یک سوء استفاده از خانواده EternalBlue است که از یک آسیب پذیری نسبتا قدیمی استفاده می کند. سیستم عاملویندوز (ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8 و ویندوز 10) خود را در حالت "بی صدا" به سیستم بوت می کند. سپس با استفاده از الگوریتم‌های مقاوم در برابر رمزگشایی، داده‌های کاربر (اسناد، عکس‌ها، ویدیوها، صفحات گسترده، پایگاه داده) و برای رمزگشایی داده ها باج می خواهد. این طرح جدید نیست، ما دائماً در مورد انواع جدیدی از رمزگذارهای فایل می نویسیم - اما در اینجا یک روش توزیع جدید است. و این منجر به یک اپیدمی شد.

نحوه عملکرد ویروس

این بدافزار میزبان هایی را در اینترنت اسکن می کند که به دنبال رایانه هایی با پورت TCP باز 445 هستند که وظیفه ارائه پروتکل SMBv1 را بر عهده دارد. با یافتن چنین رایانه ای، این برنامه چندین بار تلاش می کند تا از آسیب پذیری EternalBlue بر روی آن سوء استفاده کند و در صورت موفقیت آمیز بودن، درب پشتی DoublePulsar را نصب می کند که از طریق آن کد اجرایی برنامه WannaCry بارگیری و راه اندازی می شود. در هر تلاش برای بهره برداری، بدافزار وجود DoublePulsar را بر روی رایانه مورد نظر بررسی می کند و در صورت شناسایی، مستقیماً از طریق این درب پشتی بارگیری می شود.

به هر حال، این مسیرها توسط مدرن دنبال نمی شود برنامه های آنتی ویروس، که عفونت را بسیار گسترده کرد. و این سنگ بزرگی در باغ توسعه دهندگان نرم افزار ضد ویروس است. چگونه می توان این اجازه را داد؟ برای چی پول میگیری؟

پس از راه اندازی، بدافزار مانند باج افزار کلاسیک عمل می کند: یک جفت کلید نامتقارن RSA-2048 منحصر به فرد برای هر رایانه آلوده تولید می کند. سپس، WannaCry شروع به اسکن سیستم می‌کند و به دنبال فایل‌های کاربر از انواع خاصی می‌گردد، و آن‌هایی را که برای عملکرد بیشتر آن حیاتی هستند، دست نخورده می‌گذارد. هر فایل انتخابی با استفاده از الگوریتم AES-128-CBC با یک کلید منحصر به فرد (تصادفی) برای هر یک از آنها رمزگذاری می شود که به نوبه خود با کلید عمومی RSA سیستم آلوده رمزگذاری شده و در سربرگ فایل رمزگذاری شده ذخیره می شود. در همان زمان، پسوند به هر فایل رمزگذاری شده اضافه می شود. .ون گریه کن. جفت کلید RSA سیستم آلوده با کلید عمومی مهاجمان رمزگذاری شده و بر روی سرورهای کنترلی واقع در شبکه های Tor، پس از آن تمام کلیدها از حافظه دستگاه آلوده حذف می شوند. پس از تکمیل فرآیند رمزگذاری، برنامه پنجره ای را نمایش می دهد که در آن باید مبلغ مشخصی به بیت کوین (معادل 300 دلار آمریکا) را طی سه روز به کیف پول مشخص شده منتقل کنید. اگر باج به موقع دریافت نشود، مبلغ آن به طور خودکار دو برابر می شود. در روز هفتم، اگر WannaCry از سیستم آلوده حذف نشود، فایل های رمزگذاری شده از بین می روند. پیام به زبانی نمایش داده می شود که با زبان نصب شده در رایانه مطابقت دارد. در مجموع، این برنامه از 28 زبان پشتیبانی می کند. به موازات رمزگذاری، این برنامه آدرس های اینترنتی دلخواه را اسکن می کند و شبکه محلیبرای آلودگی بعدی کامپیوترهای جدید

طبق مطالعه سیمانتک، الگوریتم مهاجم برای ردیابی پرداخت های فردی هر قربانی و ارسال یک کلید رمزگشایی برای آنها با خطای شرط مسابقه پیاده سازی شده است. این امر پرداخت باج را بی معنی می کند، زیرا کلیدهای فردی به هر حال ارسال نمی شوند و فایل ها رمزگذاری شده باقی می مانند. با این حال، یک روش قابل اعتماد برای رمزگشایی وجود دارد فایل های کاربرکوچکتر از 200 مگابایت، و همچنین برخی شانس ها برای بازیابی فایل های بزرگتر. علاوه بر این، در منسوخ شده است سیستم های ویندوز XP و Windows Server 2003 به دلیل پیاده سازی الگوریتم محاسباتی در سیستم اعداد شبه تصادفیحتی می‌توان کلیدهای RSA خصوصی را بازیابی کرد و تمام فایل‌های آسیب‌دیده را رمزگشایی کرد، اگر کامپیوتر از زمان آلودگی مجدد راه‌اندازی نشده باشد. بعداً، گروهی از کارشناسان امنیت سایبری فرانسوی از Comae Technologies این ویژگی را به ویندوز 7 تعمیم دادند و با انتشار ابزاری در حوزه عمومی، آن را عملی کردند. WanaKiwi، که به شما امکان می دهد فایل ها را بدون باج رمزگشایی کنید.

در کد نسخه های اولیهاین برنامه با مکانیزم خود تخریبی ارائه شد، به اصطلاح Kill Switch - این برنامه در دسترس بودن دو دامنه اینترنتی خاص را بررسی کرد و در صورت وجود، به طور کامل از رایانه حذف شد. این اولین بار در 12 می 2017 توسط مارکوس هاچینز کشف شد (انگلیسی)روسی ، یک تحلیلگر ویروس 22 ساله در شرکت بریتانیایی کریپتوس لاجیک، با توییت زیر نام @MalwareTechBlog، یکی از دامنه ها را به نام خود ثبت کرد. بنابراین، او توانست به طور موقت تا حدی توزیع این اصلاح برنامه مخرب را مسدود کند. در 24 اردیبهشت دومین دامنه نیز ثبت شد. در نسخه‌های بعدی ویروس، این مکانیسم خود غیرفعال‌سازی حذف شد، اما در نسخه اصلی این کار انجام نشد. کد برنامه، اما با ویرایش فایل اجرایی، که نشان می دهد منشاء این اصلاح از نویسندگان WannaCry اصلی نیست، بلکه از مهاجمان شخص ثالث است. در نتیجه، مکانیسم رمزگذاری آسیب دید، و این نسخه از کرم تنها می‌تواند خودش را گسترش دهد و رایانه‌های آسیب‌پذیر را پیدا کند، اما قادر به آسیب مستقیم به آنها نیست.

نرخ گسترش بالای WannaCry، منحصر به فرد برای باج افزار، با استفاده از یک آسیب پذیری در پروتکل شبکه SMB سیستم عامل منتشر شده در فوریه 2017 تضمین می شود. ویندوز مایکروسافتدر بولتن MS17-010 شرح داده شده است. در حالی که در طرح کلاسیک، باج‌افزار از طریق اقدامات خود کاربر از طریق ایمیل یا پیوند وب وارد رایانه می‌شد، در مورد WannaCry، مشارکت کاربر کاملاً منتفی است. فاصله زمانی بین کشف یک کامپیوتر آسیب پذیر تا آلودگی کامل آن حدود 3 دقیقه است.

شرکت توسعه‌دهنده وجود یک آسیب‌پذیری را در تمام محصولات کاربر و سرور که پروتکل SMBv1 را پیاده‌سازی می‌کنند تأیید کرد - از Windows XP/Windows Server 2003 و پایان یافتن به Windows 10/Windows Server 2016. در 14 مارس 2017، مایکروسافت مجموعه‌ای را منتشر کرد. به روز رسانی طراحی شده برای خنثی کردن آسیب پذیری در همه سیستم عامل های پشتیبانی شده. پس از توزیع WannaCry، این شرکت گام بی‌سابقه‌ای را برداشت که همچنین به‌روزرسانی‌هایی را برای محصولات پایان پشتیبانی (ویندوز XP، ویندوز سرور 2003 و ویندوز 8) در 13 می منتشر کرد.

شیوع ویروس WannaCry

این ویروس می تواند به روش های مختلفی پخش شود:

من شخصاً دلیل آن را دقیقاً درک نمی کنم. اتصال شبکهتوسط آنتی ویروس اسکن نشده است. همان روش آلودگی، مانند بازدید از یک سایت یا مرورگر، درماندگی توسعه دهندگان و این واقعیت را ثابت می کند که وجوه درخواستی برای نرم افزار دارای مجوز برای محافظت از رایانه شخصی به هیچ وجه توجیه نمی شود.

علائم عفونت و درمان ویروس

پس از نصب موفقیت آمیز بر روی رایانه شخصی کاربر، WannaCry سعی می کند مانند یک کرم از طریق شبکه محلی به رایانه های شخصی دیگر گسترش یابد. فایل های رمزگذاری شده پسوند سیستم .WCRY را دریافت می کنند و کاملاً غیرقابل خواندن می شوند و امکان رمزگشایی خودتان وجود ندارد. پس از رمزگذاری کامل، Wcry تصویر زمینه دسکتاپ را تغییر می دهد و "دستورالعمل هایی" را برای رمزگشایی فایل ها در پوشه هایی با داده های رمزگذاری شده باقی می گذارد.

در ابتدا، هکرها 300 دلار برای کلیدهای رمزگشایی اخاذی کردند، اما سپس این رقم را به 600 دلار رساندند.

چگونه از آلوده شدن رایانه شخصی WannaCry Decryptor جلوگیری کنیم؟

به روز رسانی سیستم عامل را از وب سایت مایکروسافت دانلود کنید.

چه باید کردآیا کامپیوتر شما آلوده شده است؟

از دستورالعمل‌های زیر برای بازیابی حداقل برخی از اطلاعات رایانه‌های شخصی آلوده استفاده کنید. آنتی ویروس خود را آپدیت کنید و پچ سیستم عامل را نصب کنید. رمزگشای این ویروس هنوز در طبیعت وجود ندارد. ما اکیداً پرداخت باج به مهاجمان را توصیه نمی کنیم - هیچ تضمینی، حتی کوچکترین، وجود ندارد که آنها پس از دریافت باج، داده های شما را رمزگشایی کنند.

باج افزار WannaCry را با پاک کننده خودکار حذف کنید

یک روش بسیار موثر برای مقابله با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه امنیتی اثبات شده، ضامن دقیق تشخیص هر گونه اجزای ویروسی، آنهاست حذف کاملبا یک کلیک توجه داشته باشید، ما داریم صحبت می کنیمدر مورد دو فرآیند مختلف: حذف عفونت و بازیابی فایل ها در رایانه شخصی شما. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای به کمک آن وجود دارد.

  1. دانلود نرم افزار حذف ویروس WannaCry. پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع اسکن). دانلود نرم افزار حذف باج افزار می خواهی گریه کنی .
  2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف همه تهدیدات یافت شده، گزینه را انتخاب کنید رفع تهدیدها(حذف تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار no_more_ransom فایل‌ها را با یک الگوریتم رمزگذاری قوی قفل می‌کند تا داده‌های رمزگذاری‌شده را نتوان با موجی از عصای جادویی بازیابی کرد - اگر پرداخت یک باج ناشناخته را در نظر نگیرید. اما برخی از روش‌ها واقعاً می‌توانند به نجاتی تبدیل شوند که به شما در بازیابی اطلاعات مهم کمک می‌کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکار فایل (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین فرآیند رمزگذاری اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصتی را برای چنین چیزی فراهم می کند ابزارهای نرم افزاریچگونه نرم افزار بازیابی اطلاعاتبازیابی اشیاء حذف شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. اکیداً توصیه می شود به روش بازیابی پرونده متوسل شوید ، اثربخشی آن بدون شک است.

حجم کپی سایه

این رویکرد مبتنی بر رویه ویندوز است کپی رزرو کنیدفایل هایی که در هر نقطه بازیابی تکرار می شود. یک شرط مهم برای کارکرد این روش: عملکرد "System Restore" باید قبل از عفونت فعال شود. با این حال، هر تغییری که پس از نقطه بازیابی در فایل ایجاد شود، در نسخه بازیابی شده فایل منعکس نخواهد شد.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون خرید است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده، فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از نسخه پشتیبان شروع کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

اجزای احتمالی باقیمانده باج افزار WannaCry را بررسی کنید

تمیز کردن دستی مملو از خطر گم شدن قطعات باج افزار است که می تواند از حذف اشیاء پنهان سیستم عامل یا ورودی های رجیستری جلوگیری کند. برای از بین بردن خطر حفظ جزئی عناصر مخرب فردی، رایانه خود را با استفاده از یک امنیت مطمئن اسکن کنید بسته نرم افزاریمتخصص در بدافزار

رمزگشایی

اما هیچ اطلاعاتی از کسانی که هزینه رمزگشایی را پرداخت کرده اند وجود ندارد، همانطور که هیچ اطلاعاتی از قصد هکرها برای آرام کردن روح مردم و رمزگشایی اطلاعات پس از پرداخت وجود ندارد ((((

اما در Habré، اطلاعاتی در مورد اصل دکمه رمزگشایی و همچنین این واقعیت وجود داشت که مهاجمان راهی برای شناسایی کاربرانی که توپ های نشانه فرستاده اند ندارند، به این معنی که هیچ کس چیزی را به قربانیان بازگرداند:

رمزگذار دو نوع فایل ایجاد می‌کند: اول، برخی از قسمت‌ها با استفاده از AES 128 بیتی رمزگذاری می‌شوند، در حالی که کلید رمزگشایی ایجاد شده مستقیماً به فایل رمزگذاری‌شده اضافه می‌شود. برای فایل‌هایی که به این روش رمزگذاری شده‌اند، رمزگذار پسوند را می‌دهد .wncyrو سپس با کلیک بر روی Decrypt آنها را رمزگشایی می کند. بیشتر موارد رمزگذاری شده پسوند را دریافت می کنند .ون گریه کنو کلیدی وجود ندارد
در این حالت رمزگذاری در خود فایل انجام نمی شود، بلکه ابتدا یک فایل روی دیسک ایجاد می شود که محتوای رمزگذاری شده در آن قرار می گیرد و سپس فایل اصلی حذف می شود. بر این اساس، برای مدتی فرصتی برای بازیابی بخشی از داده ها با استفاده از ابزارهای مختلف حذف شده وجود دارد.
برای مبارزه با چنین ابزارهایی، رمزگذار دائماً زباله های باقی مانده را روی دیسک می نویسد، به طوری که فضای دیسک به سرعت به سرعت از بین می رود.
و به همین دلیل است که هنوز هیچ اطلاعاتی در مورد پرداخت و مکانیسم های تأیید آن وجود ندارد، این واقعاً تعجب آور است. شاید مبلغ نسبتاً مناسب (300 دلار) که برای چنین چکی لازم است تأثیر بگذارد.

سازندگان ویروس WannaCry حفاظت موقت را در قالب یک دامنه بی معنی دور زدند

سازندگان ویروس باج‌افزار WannaCry که رایانه‌های بیش از ۷۰ کشور را تحت تأثیر قرار داده است، نسخه جدیدی از آن را منتشر کرده‌اند. Motherboard می نویسد که فاقد کد دسترسی به دامنه بی معنی است که از انتشار ویروس اصلی جلوگیری می کند. انتشار تایید شده است نسخه جدیدویروس از دو متخصص که در حال مطالعه عفونت های رایانه ای جدید بودند. یکی از آنها کوستین رایو، رئیس تیم تحقیقاتی بین المللی در آزمایشگاه کسپرسکی است.

متخصصان مشخص نکردند که آیا تغییرات دیگری در WannaCry ظاهر شده است یا خیر.

عصر بخیر

حذف ویروس WannaCrypt (Wana Decrypt0r 2.0) از رایانه آسان است، دستورالعمل سادهموارد زیر برای هر نسخه مدرن ویندوز کار خواهد کرد. اما هنوز امکان رمزگشایی فایل های .WNCRY به صورت رایگان وجود ندارد. تمام تولید کنندگان اصلی آنتی ویروس نرم افزاردر حال کار بر روی چنین رمزگشا هستند، اما هنوز پیشرفت قابل توجهی در این راستا وجود ندارد.

اگر ویروسی را از رایانه خود حذف کنید، یعنی شانس بزرگکه هرگز نمی توانید فایل های رمزگذاری شده را رمزگشایی کنید. WannaCrypt (Wana Decrypt0r 2.0) بسیار استفاده می کند روش های موثررمزگذاری و احتمال ایجاد رمزگشای رایگان چندان زیاد نیست.

شما باید تصمیم بگیرید که آیا آماده از دست دادن فایل های رمزگذاری شده هستید یا خیر. اگر آماده هستید - از دستورالعمل های زیر استفاده کنید، اگر آماده نیستید - باج را به سازندگان ویروس بپردازید. در آینده، مطمئن شوید که از هر سیستم پشتیبان برای فایل ها و اسناد خود استفاده کنید، در حال حاضر تعداد زیادی از آنها وجود دارد، چه پولی و چه رایگان.

1. منفذ 445 شبکه را ببندید T:

  • دستور cmd را به عنوان مدیر اجرا کنید (دستورالعمل: ).
  • متن زیر را کپی کنید: Netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
  • آن را در خط فرمان قرار دهید و کلید Enter را فشار دهید، در پاسخ سیستم باید "OK" را بنویسد.
  • وقتی اینترنت روشن است، یک فیلم و تبلیغات در پس زمینه راه اندازی می شود.

    • 3. سفارشی کردن نمایش پنهان و پوشه های سیستم ، برای این:

    • کلیدهای Win R را همزمان فشار دهید.
    • در پنجره "control.exe" تایپ کنید و Enter را فشار دهید.
    • در نوار جستجوی کنترل پنل (بالا سمت راست) "گزینه های کاوشگر" را بنویسید.
    • روی میانبر "گزینه های کاوشگر" در پنجره اصلی کلیک کنید.
    • در پنجره جدید، به تب "View" بروید.
    • «فایل‌ها و پوشه‌های مخفی» را پیدا کنید و «نمایش» را انتخاب کنید فایل های مخفی، پوشه ها و درایوها"؛
    • روی دکمه "اعمال" و سپس "OK" کلیک کنید.

    4. Explorer را باز کنید، به ترتیب به پوشه ها بروید:

    • %ProgramData%
    • ٪اطلاعات برنامه٪
    • %TEMP%

    (فقط نام هر پوشه را در آن کپی کنید نوار آدرسرهبر ارکستر).

    در هر یک از پوشه های مشخص شده، همه زیرپوشه ها و فایل ها را با دقت بررسی کنید. هر چیزی که حاوی نامی از ویروس WannaCrypt (Wana Decrypt0r 2.0) در نام باشد را حذف کنید.

    به دنبال ورودی های رجیستری مشکوک در پوشه های زیر بگردید:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    6. کامپیوتر خود را مجددا راه اندازی کنید.

    نحوه حذف Wana Decrypt0r 2.0

    دنیای کاربران اینترنت و رایانه شخصی مبهوت شده است نوع جدیدباج افزار رمزگذاری داده ها، به نام Wana Decrypt0r 2.0، که قبلاً هزاران ایستگاه کاری را در مدت زمان بسیار کوتاهی آلوده کرده است. بیش از 99 کشور به طور همزمان از جمله ایالات متحده، آمریکای لاتین، اروپا و کشورهای آسیایی را مبتلا کرده است. Wana Decrypt0r 2.0 با چندین نام WCry، WNCry، WannaCry و غیره شناخته می شود. پس از نصب موفقیت آمیز، شروع به اسکن ایستگاه کاری می کند و به دنبال فایل ها و برنامه هایی است که می تواند رمزگذاری کند. از الگوریتم رمزگذاری RSA و AES برای قفل کردن فایل ها استفاده می کند و پسوند پیش فرض خود را با .wcry، .wcryt، .wncry. یا wncrrytt. جایگزین می کند. مربوط به یادداشت باج در ذخیره می شود فایل متنی، با نام @ لطفا بخوانید [ایمیل محافظت شده]این یادداشت حاوی اطلاعاتی درباره باج افزار و بیت کوین و آدرس است پست الکترونیکبه منظور پرداخت دیه تحقیقات نشان می‌دهد که Wana Decrypt0r 2.0 از شما می‌خواهد در ازای دریافت کلید رمزگشایی، ۳۰۰ دلار آمریکا به ارز مجازی بیت‌کوین بپردازید. به شدت توصیه می شود که بلافاصله ایستگاه کاری خود را با یک ابزار قدرتمند ضد بدافزار اسکن کنید تا تمام فایل های مرتبط و مفید Wana Decrypt0r 2.0 را به طور کامل حذف کنید. بسیار مهم است که تمام عناصر آن حذف شود تا نتواند هیچ فایل و داده دیگری را رمزگذاری کند.

    Wana Decrypt0r 2.0 چگونه توزیع می شود؟

    از نظر فنی، Wana Decrypt0r 2.0 می‌تواند رایانه‌های شخصی مبتنی بر ویندوز را آلوده کند. از آسیب پذیری EternalBlue در ویندوز 7، 8، 10 و نسخه های ویندوزسرور جالب اینجاست که اگر وصله‌های مایکروسافت MS17-010، CVE-2017-0146 و CVE-2017-0147 را در مارس 2017 دریافت نکرده‌اید، به احتمال زیاد به این بدافزار آلوده می‌شوید. مانند سایر باج‌افزارها، هنوز مشخص نیست که آیا از تبلت‌ها یا پیوست‌های کمپین ایمیل اسپم برای انتشار آن استفاده می‌کند یا خیر. با این حال، هنگام باز کردن هر نوع پیوست ایمیل یا کلیک بر روی لینک های دلخواه هنگام مرور، باید بسیار مراقب باشید.

    نحوه رمزگشایی Wana Decrypt0r 2.0

    به گفته مجرمان سایبری، آنها شما را برای پرداخت پول باج به منظور دریافت رمزگشایی کلید مورد نیاز، دستکاری می کنند. اما کارشناسان سایبری به طور کامل با توصیه برای پرداخت باج موافق هستند. در گذشته موقعیت های زیادی وجود داشته است که کلید رمزگشایی اصلی از فروشنده نبوده است، حتی پس از پرداخت پول. بنابراین همیشه بهترین کار این است که تلاش کنید راه های جایگزینمانند استفاده از فایل های پشتیبان، کپی های سایه مجازی یا حتی ابزار رایگان بازیابی اطلاعات موجود در اینترنت. در عین حال، فراموش نکنید که عملکرد ایستگاه را با یک ابزار قدرتمند ضد بدافزار بررسی کنید و تمام عناصر مرتبط Wana Decrypt0r 2.0 را حذف کنید.

    چگونه Wana Decrypt0r 2.0 وارد رایانه شخصی می شود؟

    از این نوع بد افزارعفونت نشان می دهد که در این عصر مدرن اطلاعات چقدر آسیب پذیر است. این می تواند عملکرد رایانه شخصی را خراب کند و در عین حال می توانیم ضررهای چند میلیون دلاری خود را از دست بدهیم. چندین گزارش وجود دارد که نشان می دهد یک بدافزار رایانه هزاران رایانه شخصی ویندوز را در یک روز آلوده کرده است. بنابراین، برای حذف موفقیت آمیز Wana Decrypt0r 2.0، همچنین مهم است که بدانید این بدافزار کامپیوتر آلوده را هدف قرار داده و به راحتی وارد آن می شود.

    معمولاً به فایل‌های مؤلفه و کدهای برنامه‌های واقعی که اغلب به عنوان نرم‌افزار رایگان ارائه می‌شوند، دسترسی پیدا می‌کند. آنها از نظر حقوقی خروس هستند برنامه رایگانو بسیار بی صدا نصب می شود. فرض کنید این ویروس را با یک برنامه جاوا نصب کنید تا هر بار که این فایل جاوا اجرا می شود، این عفونت نیز فعال شود و فعالیت های مشکوک خود را شروع کند. آنها عموماً خود تولید مثل می کنند و می توانند تولید مثل کنند. علاوه بر این، می‌تواند از طریق پیام‌های ایمیل خراب، فایل شبکه همتا به همتا، لینک‌های مشکوک و غیره گشت و گذار کند. می‌تواند از شبکه کامپیوتری و حفره‌های امنیتی برای تکثیر خود استفاده کند و بسیار بی‌صدا نصب می‌شود. برنامه های قابل دانلود از اینترنت، به ویژه از منابع نامعتبر، منبع بزرگی برای حملات بدافزار رایانه ای هستند.

    Wana Decrypt0r 2.0 چقدر می تواند خطرناک باشد؟

    هر نوع بدافزار رایانه شخصی همیشه خطرناک است، و اگر دارای کالیبر Wana Decrypt0r 2.0 باشد، اوضاع حتی بدتر می شود. می‌تواند کنترل کل مرورگر را در دست بگیرد، دسترسی به برنامه‌ها و ویژگی‌های مهم را مسدود کند، و علاوه بر این، از تنظیمات امنیتی برای وارد کردن بسیاری از بدافزارهای دیگر به درب پشتی استفاده می‌کند. محتوای صفحه وب را که بازدید می کنید به صورت خودکار دریافت کنید و کلمه کلیدیپررنگ می شود و با URL های مخرب روی آن پیوند داده می شود. شما باید از طریق فیشینگ و وب‌سایت‌های خطرناکی که عمدتاً حاوی محتوای پورنو هستند، هدایت شوید.

    رفتار اساسی Wana Decrypt0r 2.0 برای جاسوسی از فعالیت های آنلاین شما و قرار دادن شما است اطلاعات محرمانهدر زمینه رصد می‌تواند از پلاگین‌های مشکوک مرورگر، افزونه‌ها و حتی ثبت‌کننده‌های کلید و ضربه‌های کلید به منظور جاسوسی و ضبط فعالیت‌های کاربر و افشای اطلاعات بسیار حساس مانند شناسه‌ها، رمز عبور، موقعیت جغرافیایی و آدرس‌های IP، جزئیات بانکی و غیره استفاده کند. با تغییر تنظیمات اتصال به اینترنت، رایانه به یک سرور پزشکی قانونی سایبری متصل می شود، بنابراین رایانه شما به طور غیرقانونی توسط اشخاص ثالث غیرمجاز دسترسی پیدا می کند. مرورگر پیش فرض را در اختیار خواهد گرفت صفحه نخستو سیستم جستجوو وب سایت های مشکوک نامربوط را در نتایج جستجو نشان می دهد. اکثر وب سایت های موجود در نتایج جستجو دامنه های تجاری هستند که هیچ ارزشی برای آنها ندارند پرس و جوهای جستجو. بنابراین، مهم است که به محض مشاهده علائم اولیه، Wana Decrypt0r 2.0 را حذف کنید.

    دستورالعمل های حذف Wana Decrypt0r 2.0

    برنامه ریزی یک: با فرآیند دستی از شر Wana Decrypt0r 2.0 خلاص شوید (فقط توسط کارشناسان سایبری و تکنسین های برتر توصیه می شود)

    طرح ب : حذف Wana Decrypt0r 2.0 از رایانه شخصی ویندوز با استفاده از ابزار حذف خودکار (ایمن و آسان برای همه کاربران رایانه شخصی)

    Windows OS Plan A: از شر Wana Decrypt0r 2.0 با دستی خلاص شوید

    قبل از انجام فرآیند دستی، چند مورد وجود دارد که باید تأیید شوند. اول، این است که شما باید دانش فنی و تجربه ریک در حذف دستی بدافزار رایانه شخصی داشته باشید. باید دانش عمیقی از سوابق داشته باشد رجیستری سیستمو فایل ها باید بتواند مراحل اشتباه را لغو کند و باید از عواقب منفی احتمالی که ممکن است از اشتباه شما ناشی شود آگاه باشد. اگر این دانش فنی اولیه را رعایت نکنید، طرح بسیار خطرناک خواهد بود و باید از آن اجتناب کرد. در چنین شرایطی، به شدت توصیه می‌شود که پلن B را فعال کنید، که آسان‌تر است و به شما کمک می‌کند شناسایی و حذف کنید Wana Decrypt0r 2.0به راحتی با ابزار اتوماتیک (با SpyHunter و RegHunter)

    مرحله 1: Wana Decrypt0r 2.0 را حذف کنیداز کنترل پنل


    مرحله 2: Wana Decrypt0r 2.0 را از مرورگرها حذف کنید

    در کروم: باز کن گوگل کروم> کلیک کنید منوی کروم> ابزارها را انتخاب کنید > افزونه را کلیک کنید > افزونه های Wana Decrypt0r 2.0 > سطل زباله را انتخاب کنید

    در فایرفاکس: فایرفاکس را باز کنید > به گوشه سمت راست بروید تا منوی مرورگر باز شود > افزونه ها را انتخاب کنید > افزونه های Wana Decrypt0r 2.0 را انتخاب و حذف کنید.

    در اینترنت اکسپلورر: IE را باز کنید > روی Tools کلیک کنید > روی مدیریت افزونه ها، ابزارها و برنامه های افزودنی کلیک کنید > افزونه ها را انتخاب کنید Wana Decrypt0r 2.0و عناصر آن و حذف آنها.

    مرحله 3: فایل ها و ورودی های مخرب Wana Decrypt0r 2.0 را از رجیستری حذف کنید


      3. ورودی های رجیستری ایجاد شده توسط Wana Decrypt0r 2.0 را شناسایی کنید و آنها را به دقت حذف کنید.

    • HKLM\SOFTWARE\Classes\AppID\ exe
    • HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http:// .com"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\نام ویروس
    • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%AppData%\" exe.
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • 'تصادفی' HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

    طرح ب: حذف Wana Decrypt0r 2.0 با ابزار خودکار Wana Decrypt0r 2.0

    مرحله 1. کامپیوتر آلوده را با SpyHunter اسکن کنید تا Wana Decrypt0r 2.0 حذف شود.

    1. برای دانلود ایمن SpyHunter روی دکمه دانلود کلیک کنید.

    توجه داشته باشید پاسخ: هنگام بارگیری SpyHunter در رایانه شخصی، مرورگر شما ممکن است یک هشدار جعلی مانند "این نوع فایل ممکن است به رایانه شما آسیب برساند." آیا همچنان می‌خواهید Download_Spyhunter-installer.exe را به هر حال حفظ کنید؟». به یاد داشته باشید که این یک پیام جعلی است که در واقع توسط یک عفونت رایانه شخصی ایجاد می شود. فقط باید پیام را نادیده بگیرید و روی دکمه "ذخیره" کلیک کنید.

    2. SpyHunter-Installer.exe را برای نصب SpyHunter با استفاده از نصب کننده نرم افزار Enigma اجرا کنید.

    3. پس از اتمام نصب، SpyHunter می‌تواند رایانه شما را اسکن کرده و عمیقا جستجو کند تا Wana Decrypt0r 2.0 و فایل‌های مرتبط با آن را شناسایی و حذف کند. هر بدافزار یا برنامه ناخواسته به طور خودکار اسکن و شناسایی می شود.

    4. برای حذف تمام تهدیدات رایانه ای که توسط SpyHunter شناسایی شده اند، بر روی دکمه "Repair Threats" کلیک کنید.

    مرحله 2 از RegHunter برای به حداکثر رساندن عملکرد رایانه شخصی استفاده کنید

    1. برای دانلود RegHunter به همراه SpyHunter کلیک کنید

    2. RegHunter-Installer.exe را اجرا کنید تا RegHunter از طریق installer نصب شود



    روش های مورد استفاده توسط Wana Decrypt0r 2.0 Automatic Removal Tool

    Wana Decrypt0r 2.0 یک عفونت بدافزار بسیار پیشرفته است، بنابراین برای ضد بدافزار بسیار دشوار است که تعریف خود را برای چنین حملات بدافزاری به روز کند. اما با ابزار حذف خودکار Wana Decrypt0r 2.0، چنین مشکلاتی وجود ندارد. این اسکنر بدافزار به‌روزرسانی‌های منظم را برای آخرین تعاریف بدافزار دریافت می‌کند، بنابراین می‌تواند رایانه شما را خیلی سریع اسکن کند و انواع تهدیدات بدافزار را از بین ببرد. نرم افزارهای جاسوسی، بدافزار، تروجان و غیره. بسیاری از نظرسنجی ها و کارشناسان کامپیوتر این ادعا را دارند بهترین ابزارحذف عفونت برای تمام نسخه های رایانه شخصی ویندوز. این ابزار ارتباط بین پزشکی قانونی سایبری و رایانه شما را به طور کامل غیرفعال می کند. این دارای یک الگوریتم اسکن بسیار پیشرفته و یک فرآیند حذف بدافزار سه مرحله ای است به طوری که فرآیند اسکن و همچنین حذف بدافزار بسیار سریع می شود.