نحوه رمزگشایی فایل ها پس از WannaCry آلودگی انبوه با باج افزار WannaCry - @ [ایمیل محافظت شده] Wanna decryptor 2 0 رمزگشایی فایل ها

توجه!افزونه‌های جدید، متن‌های ایمیل و باج را می‌توانید در انتهای مقاله، در به‌روزرسانی‌ها پیدا کنید. ممکن است تفاوت هایی با نسخه اصلی وجود داشته باشد.

این باج افزار رمزنگاری در اواسط دسامبر 2018 فعال بود. هدف آن کاربران انگلیسی زبان است که مانع از توزیع آن در سراسر جهان نمی شود.

یادداشت باج روی صفحه قفل ظاهر می شود:

جزییات فنی

ورودی های رجیستری مرتبط با این باج افزار:


اتصالات و ارتباطات شبکه:
برای سایر آدرس‌ها و مخاطبین، به‌روزرسانی‌های زیر را ببینید.
نتایج آزمایش را در زیر مشاهده کنید.

نتایج آزمون:
Ⓗ تجزیه و تحلیل ترکیبی >>
𝚺

اخیراً مرکز امنیت اینترنت 360 کشف شده است نوع جدیدیک ویروس باج افزار که هم مشاغل و هم افراد را در بسیاری از کشورها و مناطق هدف قرار می دهد. 360 در 12 مه پس از کشف یک هشدار اضطراری به موقع صادر کرد تا خطرات آتی را به کاربران یادآوری کند. این باج افزار از توزیع شده است سرعت بالادر سراسر جهان. طبق آمار ناقص، ده ها هزار دستگاه در 99 کشور تنها در چند ساعت پس از انفجار آلوده شدند و این کرم شبکه همچنان در تلاش برای گسترش نفوذ خود است.

به طور معمول، یک ویروس باج افزار یک برنامه مخرب با هدف آشکار اخاذی است. فایل های قربانی را با استفاده از یک الگوریتم رمزنگاری نامتقارن رمزگذاری می کند، آنها را غیرقابل دسترس می کند و برای رمزگشایی آنها باج می خواهد. اگر باج پرداخت نشود، فایل ها قابل بازیابی نیستند. این گونه جدید با اسم رمز WanaCrypt0r شناخته می شود. چیزی که او را بسیار کشنده می کند استفاده از ابزار هک "EternalBLue" است که از NSA به سرقت رفته بود. این همچنین توضیح می دهد که چرا WanaCrypt0r توانست به سرعت در سراسر جهان گسترش یابد و در مدت زمان بسیار کوتاهی خسارات زیادی به بار آورد. پس از پیشرفت کرم شبکه در 12 می، بخش Core Security در مرکز امنیت اینترنت 360 نظارت کامل و تجزیه و تحلیل عمیق را انجام داد. اکنون می‌توانیم مجموعه‌ای از راه‌حل‌های شناسایی، حفاظت و بازیابی اطلاعات را در برابر WanaCrypt0r منتشر کنیم.

360 Helios Team یک تیم تحقیقاتی و تحلیلی APT (Advanced Persistent Attack) در بخش Core Security است که عمدتاً به بررسی حمله APT و پاسخ به رویداد تهدید اختصاص دارد. محققان امنیتی مکانیسم ویروس ها را به دقت تجزیه و تحلیل کرده اند تا موثرترین و دقیق ترین روش برای بازیابی فایل های رمزگذاری شده را بیابند. با استفاده از این روش، 360 می‌تواند به اولین ارائه‌دهنده امنیتی تبدیل شود که یک ابزار بازیابی اطلاعات - "بازیابی فایل آلوده با باج‌افزار 360" را منتشر می‌کند تا به مشتریان خود کمک کند تا فایل‌های آلوده را به سرعت و به طور کامل بازیابی کنند. امیدواریم این مقاله به شما در درک ترفندهای این کرم و همچنین بحث گسترده تر در مورد بازیابی فایل های رمزگذاری شده کمک کند.

فصل 2 تجزیه و تحلیل فرآیندهای رمزگذاری اساسی

این کرم ماژول رمزگذاری را در حافظه قرار می دهد و DLL را مستقیماً در حافظه بارگذاری می کند. سپس DLL یک تابع TaskStart را صادر می کند که باید برای فعال کردن کل فرآیند رمزگذاری استفاده شود. DLL به صورت پویا دسترسی دارد سیستم فایلو توابع API مربوط به رمزگذاری برای جلوگیری از تشخیص استاتیک.

1-مرحله اولیه

ابتدا از "SHGetFolderPathW" برای دریافت مسیرهای دسکتاپ و پوشه فایل استفاده می کند. سپس تابع "10004A40" را فراخوانی می کند تا مسیر دسکتاپ و پوشه فایل های دیگر کاربران را دریافت کند و تابع EncrytFolder را فراخوانی می کند تا پوشه ها را به صورت جداگانه رمزگذاری کند.

همه درایوها را دو بار از درایور Z تا C اسکن می کند. اولین اسکن برای اجرای همه درایوهای محلی (به جز درایور-CD) است. اسکن دوم تمام دستگاه های ذخیره سازی موبایل را بررسی می کند و تابع EncrytFolder را برای رمزگذاری فایل ها فراخوانی می کند.

2. تراورس فایل

تابع "EncryptFolder" یک تابع بازگشتی است که می تواند اطلاعات مربوط به فایل ها را با دنبال کردن روش زیر جمع آوری کند:

مسیرهای فایل یا پوشه ها را در طول فرآیند متقاطع حذف کنید:

یک پوشه جالب به نام این پوشه در برابر باج افزار محافظت می کند وجود دارد. تغییر آن باعث کاهش حفاظت می شود." وقتی این کار را انجام می دهید، متوجه می شوید که با پوشه حفاظتی نرم افزار ضد باج افزار مطابقت دارد.

باج‌افزار هنگام خزیدن فایل‌ها، اطلاعات فایل‌ها مانند اندازه فایل‌ها را جمع‌آوری می‌کند و سپس فایل‌ها را به دسته‌بندی می‌کند. انواع متفاوتمطابق با گسترش آنها، پیروی از قوانین خاصی:

لیست انواع پسوند 1:

لیست انواع پسوند 2:

3. اولویت رمزگذاری

برای رمزگذاری فایل های مهمدر سریع ترین زمان ممکن، WanaCrypt0r یک صف اولویت پیچیده ایجاد کرد:

صف اولویت:

فایل‌های نوع 2 را رمزگذاری کنید که با فهرست پسوند 1 نیز مطابقت دارند. اگر فایل کوچک‌تر از 0X400 باشد، اولویت رمزگذاری کاهش می‌یابد.
II. فایل‌های نوع 3 را که با فهرست پسوند 2 نیز مطابقت دارند، رمزگذاری کنید. اگر فایل کوچک‌تر از 0X400 باشد، اولویت رمزگذاری کاهش می‌یابد.
III. فایل های باقی مانده (کمتر از 0x400) و فایل های دیگر را رمزگذاری کنید.

4. منطق رمزگذاری

کل فرآیند رمزگذاری با استفاده از RSA و AES تکمیل می شود. اگرچه فرآیند رمزگذاری RSA از Microsoft CryptAPI استفاده می کند، کد AES به صورت ایستا در یک DLL کامپایل می شود. فرآیند رمزگذاری در شکل زیر نشان داده شده است:

لیست کلیدهای استفاده شده:

فرمت فایل پس از رمزگذاری:

لطفاً توجه داشته باشید که در طول فرآیند رمزگذاری، باج‌افزار به‌طور تصادفی برخی از فایل‌ها را برای رمزگذاری انتخاب می‌کند و با استفاده از کلید عمومی RSA داخلی، چند فایل را ارائه می‌کند که قربانیان می‌توانند به صورت رایگان رمزگشایی کنند.

مسیر فایل های رایگان را می توانید در فایل "f.wnry" پیدا کنید.

5. پر کردن اعداد تصادفی

پس از رمزگذاری، WanaCrypt0r فایل‌هایی را که مهم می‌داند با اعداد تصادفی پر می‌کند تا زمانی که فایل را کاملاً از بین ببرد، سپس فایل‌ها را برای حذف به یک فهرست فایل موقت منتقل می‌کند. با انجام این کار، بازیابی فایل ها را برای ابزارهای بازیابی فایل بسیار دشوار می کند و در عین حال می تواند روند رمزگذاری را سرعت بخشد.

فایل های تکمیل شده باید شرایط زیر را داشته باشند:

- در دایرکتوری مشخص شده (رومیزی، سند من، پوشه کاربر)

- حجم فایل کمتر از 200 مگابایت است

- پسوند فایل در لیست انواع پسوند 1 قرار دارد

منطق پر کردن فایل:

- اگر فایل کمتر از 0x400 باشد، با اعداد تصادفی به همان طول پوشانده می شود.

- اگر فایل بزرگتر از 0x400 باشد، آخرین 0x400 با اعداد تصادفی پوشانده می شود.

- نشانگر فایل را به هدر فایل منتقل کنید و 0x40000 را به عنوان بلوک داده تنظیم کنید تا فایل را تا انتها با اعداد تصادفی پوشش دهد.

6. حذف فایل ها

WanaCrypt0r ابتدا فایل ها را به یک پوشه موقت منتقل می کند تا یک فایل موقت ایجاد کند و سپس آن را به روش های مختلف حذف می کند.

هنگامی که از درایوها عبور می کند تا فایل ها را رمزگذاری کند، یک فایل موقت با نام "$RECYCLE + auto increment + .WNCYRT" (به عنوان مثال: "D:\$RECYCLE\1.WNCRYT") روی درایو فعلی ایجاد می کند. . به خصوص اگر درایو فعلی یک درایو سیستم باشد (مانند Driver-C)، از دایرکتوری موقت سیستم استفاده می کند.

متعاقباً، این فرآیند taskdl.exe را اجرا می کند و فایل های موقت را در یک بازه زمانی ثابت حذف می کند.

فصل 3 امکان بازیابی اطلاعات

در تجزیه و تحلیل منطق اجرای خود، متوجه شدیم که این کرم فایل‌هایی را که شرایط مشخص شده را برآورده می‌کنند با اعداد تصادفی یا 0x55 بازنویسی می‌کند تا ساختار فایل‌ها را از بین ببرد و از بازیابی آنها جلوگیری کند. اما این عملیات فقط برای فایل های خاص یا فایل هایی با پسوند مشخص پذیرفته می شود. این بدان معناست که هنوز فایل های زیادی وجود دارند که رونویسی نشده اند و فضایی برای بازیابی فایل ها باقی می ماند.

در طول فرآیند حذف، کرم فایل‌های منبع را با فراخوانی تابع MoveFileEx به پوشه فایل‌های موقت منتقل کرد. در نهایت فایل های موقت به طور انبوه حذف می شوند. در طی فرآیند فوق، فایل های منبع ممکن است تغییر کنند، اما فعلی نرم افزاربازیابی اطلاعات موجود در بازار از این موضوع آگاه نیست، بنابراین تعداد زیادی فایل را نمی توان با موفقیت بازیابی کرد. نیاز به فایل های بازیابی برای قربانیان تقریبا غیرممکن است.

برای فایل‌های دیگر، کرم به سادگی دستور «حرکت و حذف» را اجرا می‌کند. از آنجایی که فرآیندهای حذف فایل ها و انتقال فایل ها جدا هستند، این دو رشته با یکدیگر رقابت خواهند کرد که ممکن است به دلیل تفاوت در جابجایی فایل ها با شکست مواجه شود. محیط سیستمکاربر. با این کار فایل مستقیماً در مکان فعلی آن حذف می شود. در این مورد وجود دارد شانس بزرگکه فایل قابل بازیابی است.

https://360totalsecurity.com/s/ransomrecovery/

با استفاده از روش های بازیابی ما، درصد زیادی از فایل های رمزگذاری شده را می توان به طور کامل بازیابی کرد. اکنون نسخه ی به روز شده 360 File Recovery Tool در پاسخ به این نیاز برای کمک به ده ها هزار قربانی برای کاهش خسارات و عواقب ایجاد شده است.

14 می 360 اولین فروشنده امنیتی است که ابزار بازیابی فایل را منتشر کرده است که بسیاری از فایل ها را از باج افزار ذخیره کرده است. این نسخه جدید گام دیگری در بهره برداری از آسیب پذیری های منطقی WanaCrypt0r برداشته است. می تواند ویروس را برای جلوگیری از عفونت بیشتر حذف کند. با استفاده از الگوریتم‌های متعدد، می‌تواند اتصالات پنهانی بین فایل‌های قابل بازیابی رایگان و فایل‌های رمزگشایی شده برای مشتریان پیدا کند. این سرویس بازیابی همه‌جانبه می‌تواند آسیب‌های ناشی از حمله باج‌افزار را کاهش دهد و از امنیت داده‌های کاربران محافظت کند.

فصل 4 نتیجه گیری

شیوع انبوه و گسترش کرم‌های WannaCry از طریق استفاده از MS17-010، که آن را قادر می‌سازد تا علاوه بر عملکرد یک باج‌افزار عمومی، خود تکثیر و انتشار فعال داشته باشد. جدا از بار حمله، ساختار فنی باج افزار مهم ترین نقش را در حملات ایفا می کند.باج افزار کلید AES را با استفاده از الگوریتم رمزنگاری نامتقارن RSA-2048 رمزگذاری می کند. سپس هر فایل با استفاده از یک الگوریتم رمزگذاری متقارن تصادفی AES-128 رمزگذاری می شود. این بدان معناست که با تکیه بر محاسبات و روش های موجود، RSA-2048 و AES-128 را بدون هیچ گونه باز یا باز رمزگشایی می کنند. کلیدهای خصوصیتقریبا غیرممکن. با این حال، نویسندگان برخی از خطاها را در فرآیند رمزگذاری ایجاد می‌کنند که امکان بازیابی را تضمین و افزایش می‌دهد. اگر اقدامات با سرعت کافی انجام شوند، بیشتر داده ها را می توان دوباره ذخیره کرد.

علاوه بر این، از آنجایی که پول باج در بیت‌کوین‌های ناشناس پرداخت می‌شود، که هر کسی می‌تواند آدرس آن را بدون گواهی واقعی دریافت کند، شناسایی مهاجم در آدرس‌ها غیرممکن است، چه رسد به اینکه بین حساب‌های مختلف صاحب آدرس یکسان. بنابراین، به دلیل اتخاذ یک الگوریتم رمزگذاری نشکن و بیت کوین های ناشناس، به احتمال زیاد این نوع شیوع باج افزار سودآور برای مدت طولانی ادامه خواهد داشت. همه باید مراقب باشند.

تیم هلیوس 360

360 Helios Team یک تیم تحقیقاتی APT (Advanced Persistent Attack) در Qihoo 360 است.

این تیم به بررسی حملات APT، پاسخ به حوادث تهدید، و تحقیق در مورد زنجیره های صنعتی اقتصاد زیرزمینی اختصاص دارد.

از زمان آغاز به کار خود در دسامبر 2014، این تیم با موفقیت یک پایگاه داده عظیم 360 را ادغام کرده و یک فرآیند معکوس و همبستگی سریع ایجاد کرده است. تا به امروز بیش از 30 APT و گروه اقتصاد زیرزمینی شناسایی و شناسایی شده اند.

360 Helios همچنین راه حل های ارزیابی تهدید و پاسخ را برای شرکت ها ارائه می دهد.

گزارش های عمومی

مخاطب
پست الکترونیک پست الکترونیکی: [ایمیل محافظت شده]
گروه وی چت: 360 تیم هلیوس
لطفاً کد QR زیر را دانلود کنید تا ما را در ویچت دنبال کنید!

می خواهی گریه کنی برنامه ویژه، که تمام داده های روی سیستم را قفل می کند و کاربر را تنها با دو فایل می گذارد: دستورالعمل هایی در مورد کارهای بعدی و خود برنامه Wanna Decryptor - ابزاری برای باز کردن قفل داده ها.

اکثر شرکت های امنیت کامپیوتری ابزارهای رمزگشایی باج دارند که می توانند نرم افزار را دور بزنند. برای انسان های معمولی، روش "درمان" هنوز ناشناخته است.

رمزگشای WannaCry (یا WinCry، WannaCry، .wcry، WCrypt، WNCRY، WanaCrypt0r 2.0)،در حال حاضر "ویروس 2017" نامیده می شود. و اصلا بی دلیل نیست. این باج افزار تنها در 24 ساعت اول از زمان انتشار، بیش از 45000 رایانه را آلوده کرد. برخی از محققان معتقدند که این لحظه(15 مه) بیش از یک میلیون رایانه و سرور قبلاً آلوده شده اند. یادآوری می کنیم که شیوع این ویروس از 12 می آغاز شد. اولین افرادی که تحت تأثیر قرار گرفتند، کاربران روسیه، اوکراین، هند و تایوان بودند. در حال حاضر این ویروس با سرعت بالایی در اروپا، آمریکا و چین در حال گسترش است.

اطلاعات رایانه ها و سرورها رمزگذاری شده بود سازمان های دولتی(به ویژه وزارت امور داخلی روسیه)، بیمارستان ها، شرکت های فراملی، دانشگاه ها و مدارس.

Wana Decryptor (Wanna Cry یا Wana Decrypt0r) کار صدها شرکت و سازمان دولتی را در سراسر جهان فلج کرد.

در اصل، WinCry (WannaCry) یک سوء استفاده از خانواده EternalBlue است که از آسیب‌پذیری نسبتاً قدیمی در سیستم عامل ویندوز (ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8 و ویندوز 10) استفاده می‌کند و بی‌صدا خود را در سیستم بارگذاری می‌کند. سپس با استفاده از الگوریتم‌های مقاوم در برابر رمزگشایی، داده‌های کاربر (اسناد، عکس‌ها، ویدیوها، صفحات گسترده، پایگاه داده) و برای رمزگشایی داده ها باج می خواهد. این طرح جدید نیست، ما دائماً در مورد انواع جدیدی از رمزگذارهای فایل می نویسیم - اما روش توزیع جدید است. و این منجر به یک اپیدمی شد.

نحوه عملکرد ویروس

این بدافزار اینترنت را برای یافتن میزبان هایی که به دنبال رایانه هایی با پورت TCP باز 445 هستند، اسکن می کند، که مسئول سرویس پروتکل SMBv1 است. با شناسایی چنین کامپیوتری، این برنامه چندین بار تلاش می کند تا از آسیب پذیری EternalBlue روی آن سوء استفاده کند و در صورت موفقیت آمیز بودن، درب پشتی DoublePulsar را نصب می کند که از طریق آن کد اجرایی برنامه WannaCry دانلود و راه اندازی می شود. با هر تلاش برای بهره برداری، بدافزار وجود DoublePulsar را در رایانه مورد نظر بررسی می کند و در صورت شناسایی، مستقیماً از طریق این درب پشتی دانلود می کند.

به هر حال، این مسیرها توسط مدرن دنبال نمی شود برنامه های آنتی ویروس، که باعث گسترش عفونت شد. و این سنگفرش بزرگی در باغ توسعه دهندگان نرم افزار ضد ویروس است. چگونه می توان اجازه داد که این اتفاق بیفتد؟ برای چی پول میگیری؟

پس از راه اندازی، بدافزار مانند یک باج افزار کلاسیک عمل می کند: یک جفت کلید نامتقارن RSA-2048 منحصر به فرد برای هر رایانه آلوده تولید می کند. سپس، WannaCry شروع به اسکن سیستم به دنبال انواع خاصی از فایل‌های کاربر می‌کند، و آن‌هایی را که برای عملکرد بیشتر آن حیاتی هستند، دست نخورده باقی می‌گذارد. هر فایل انتخاب شده با استفاده از الگوریتم AES-128-CBC با یک کلید منحصر به فرد (تصادفی) برای هر یک از آنها رمزگذاری می شود که به نوبه خود با کلید عمومی RSA سیستم آلوده رمزگذاری شده و در سربرگ فایل رمزگذاری شده ذخیره می شود. در این حالت، پسوند به هر فایل رمزگذاری شده اضافه می شود .ون گریه کن. جفت کلید RSA سیستم آلوده با کلید عمومی مهاجمان رمزگذاری شده و روی سرورهای کنترلی واقع در شبکه های Tor، پس از آن همه کلیدها از حافظه دستگاه آلوده حذف می شوند. پس از تکمیل فرآیند رمزگذاری، برنامه پنجره ای را نمایش می دهد که از شما می خواهد مقدار مشخصی بیت کوین (معادل 300 دلار) را در مدت سه روز به کیف پول مشخص شده منتقل کنید. در صورت عدم دریافت باج به موقع، مبلغ آن به طور خودکار دو برابر می شود. در روز هفتم، اگر WannaCry از سیستم آلوده حذف نشود، فایل های رمزگذاری شده از بین می روند. پیام به زبان مربوط به زبان نصب شده بر روی رایانه نمایش داده می شود. در مجموع، این برنامه از 28 زبان پشتیبانی می کند. به موازات رمزگذاری، برنامه آدرس های اینترنتی دلخواه و شبکه محلی را برای آلودگی بعدی رایانه های جدید اسکن می کند.

طبق تحقیقات Symantec، الگوریتم مهاجمان برای ردیابی پرداخت های فردی به هر قربانی و ارسال کلید رمزگشایی برای آنها با خطای شرط مسابقه پیاده سازی شده است. این امر پرداخت باج را بی‌معنا می‌سازد، زیرا در هر صورت کلیدهای جداگانه ارسال نمی‌شوند و فایل‌ها رمزگذاری شده باقی می‌مانند. با این حال، یک روش قابل اعتماد برای رمزگشایی وجود دارد فایل های کاربراندازه کمتر از 200 مگابایت، و همچنین برخی از شانس ها برای بازیابی فایل های بزرگتر. علاوه بر این، در تاریخ منسوخ شده است سیستم های ویندوز XP و ویندوز سرور 2003 با توجه به ویژگی های پیاده سازی الگوریتم محاسباتی در سیستم اعداد شبه تصادفیحتی می توان کلیدهای خصوصی RSA را بازیابی کرد و همه فایل های آسیب دیده را رمزگشایی کرد، اگر کامپیوتر از زمان آلودگی مجدد راه اندازی نشده باشد. بعداً، گروهی از کارشناسان امنیت سایبری فرانسوی از Comae Technologies این ویژگی را به ویندوز 7 گسترش دادند و با انتشار این ابزار در حوزه عمومی، آن را به اجرا درآوردند. WanaKiwi، که به شما امکان می دهد فایل ها را بدون باج رمزگشایی کنید.

در کد نسخه های قبلیاین برنامه با مکانیزم خود تخریبی ارائه شد، به اصطلاح Kill Switch - این برنامه در دسترس بودن دو دامنه اینترنتی خاص را بررسی می کرد و در صورت وجود، به طور کامل از رایانه حذف می شد. این اولین بار توسط مارکوس هاچینز در 12 می 2017 کشف شد. (انگلیسی)روسی ، یک تحلیلگر ویروس 22 ساله برای شرکت انگلیسی Kryptos Logic که در توییتر با نام مستعار @MalwareTechBlog می نویسد و یکی از دامنه ها را به نام خود ثبت کرده است. بنابراین، او موفق شد به طور موقت تا حدی توزیع این اصلاح را مسدود کند بد افزار. در 14 اردیبهشت دومین دامنه ثبت شد. در نسخه‌های بعدی ویروس، این مکانیسم خود غیرفعال حذف شد، اما در نسخه اصلی این کار انجام نشد. کد برنامه، اما با ویرایش فایل اجرایی، که به ما امکان می دهد فرض کنیم منشاء این اصلاح از نویسندگان WannaCry اصلی نیست، بلکه از مهاجمان شخص ثالث است. در نتیجه، مکانیسم رمزگذاری آسیب دید و این نسخه از کرم تنها با یافتن رایانه‌های آسیب‌پذیر می‌تواند خود را گسترش دهد، اما قادر به ایجاد آسیب مستقیم به آنها نیست.

نرخ بالای گسترش WannaCry، منحصر به فرد برای یک برنامه باج افزار، با استفاده از یک آسیب پذیری در پروتکل شبکه SMB سیستم عامل منتشر شده در فوریه 2017 تضمین می شود. ویندوز مایکروسافتدر بولتن MS17-010 شرح داده شده است. اگر در طرح کلاسیک برنامه باج افزار به لطف اقدامات خود کاربر از طریق رایانه وارد رایانه شود. پست الکترونیکیا یک پیوند وب، پس در مورد WannaCry، مشارکت کاربر کاملاً حذف می شود. فاصله زمانی بین تشخیص یک کامپیوتر آسیب پذیر تا آلودگی کامل آن حدود 3 دقیقه است.

شرکت توسعه‌دهنده وجود یک آسیب‌پذیری را در تمام محصولات کاربر و سرور که دارای پروتکل SMBv1 هستند تأیید کرده است - از Windows XP/Windows Server 2003 تا پایان به Windows 10/Windows Server 2016. در 14 مارس 2017، مایکروسافت مجموعه‌ای از به‌روزرسانی‌ها را منتشر کرد که برای خنثی کردن این آسیب‌پذیری در همه سیستم‌عامل‌های پشتیبانی‌شده طراحی شده‌اند. به دنبال گسترش WannaCry، این شرکت گام بی‌سابقه‌ای را برداشت که همچنین به‌روزرسانی‌هایی را برای محصولات پایان پشتیبانی (ویندوز XP، ویندوز سرور 2003 و ویندوز 8) در 13 می منتشر کرد.

انتشار ویروس WannaCry

این ویروس می تواند به روش های مختلفی پخش شود:

• از طریق یک شبکه کامپیوتری واحد؛
• از طریق پست؛
• از طریق مرورگر

من شخصاً دلیل آن را کاملاً درک نمی کنم اتصال شبکهتوسط آنتی ویروس اسکن نشده است. همان روش آلوده شدن از طریق بازدید از یک وب سایت یا مرورگر، درماندگی توسعه دهندگان را ثابت می کند و اینکه وجوه درخواستی برای نرم افزار دارای مجوز برای محافظت از رایانه شخصی به هیچ وجه توجیه نمی شود.

علائم عفونت و درمان ویروس

پس از نصب موفقیت آمیز بر روی رایانه شخصی کاربر، WannaCry سعی می کند مانند یک کرم در سراسر شبکه محلی به رایانه های شخصی دیگر گسترش یابد. فایل های رمزگذاری شده پسوند سیستم .WCRY را دریافت می کنند و کاملاً غیرقابل خواندن می شوند و امکان رمزگشایی خودتان وجود ندارد. پس از رمزگذاری کامل، Wcry تصویر زمینه دسکتاپ را تغییر می‌دهد و «دستورالعمل‌هایی» برای رمزگشایی فایل‌ها در پوشه‌هایی با داده‌های رمزگذاری شده باقی می‌گذارد.

در ابتدا، هکرها 300 دلار برای کلیدهای رمزگشایی اخاذی کردند، اما سپس این رقم را به 600 دلار رساندند.

چگونه از آلوده شدن رایانه شخصی خود به باج افزار WannaCry Decryptor جلوگیری کنیم؟

به روز رسانی سیستم عامل را از وب سایت مایکروسافت دانلود کنید.

چه باید کردآیا کامپیوتر شما آلوده شده است؟

از دستورالعمل های زیر برای بازیابی حداقل برخی از اطلاعات رایانه شخصی آلوده استفاده کنید. آنتی ویروس خود را به روز کنید و پچ سیستم عامل را نصب کنید. رمزگشای این ویروس هنوز در طبیعت وجود ندارد. ما اکیداً پرداخت باج به مهاجمان را توصیه نمی کنیم - هیچ تضمینی، حتی کوچکترین، وجود ندارد که آنها پس از دریافت باج، داده های شما را رمزگشایی کنند.

باج افزار WannaCry را با استفاده از پاک کننده خودکار حذف کنید

به طور انحصاری روش موثرکار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی، آنها را تضمین می کند حذف کاملبا یک کلیک توجه داشته باشید، ما در مورددر مورد دو فرآیند مختلف: حذف عفونت و بازیابی فایل ها در رایانه شخصی شما. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.

1. برنامه حذف ویروس WannaCry را دانلود کنید. پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع به اسکن کنید). برنامه حذف باج افزار را دانلود کنید می خواهی گریه کنی .
2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف تمام تهدیدات شناسایی شده، گزینه را انتخاب کنید رفع تهدیدها(از بین بردن تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار no_more_ransom فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند، به طوری که داده‌های رمزگذاری‌شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد. اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکار فایل (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین، فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصت را برای چنین فراهم می کند نرم افزارچگونه نرم افزار بازیابی اطلاعاتبازیابی اشیاء پاک شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. به شدت توصیه می شود به روش بازیابی فایل متوسل شوید؛ اثربخشی آن بدون شک است.

کپی سایه از مجلدات

رویکرد مبتنی بر رویه ویندوز کپی رزرو کنیدفایل ها، که در هر نقطه بازیابی تکرار می شود. یک شرط مهم برای کارکرد این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

اجزای احتمالی باقیمانده باج‌افزار WannaCry را بررسی کنید

تمیز کردن دستی باعث از دست رفتن تکه‌های باج‌افزاری می‌شود که می‌توانند به‌عنوان اشیاء مخفی سیستم‌عامل یا آیتم‌های رجیستری حذف شوند. برای از بین بردن خطر حفظ جزئی عناصر مخرب، رایانه خود را با استفاده از یک نرم افزار امنیتی قابل اعتماد اسکن کنید. بسته نرم افزاری، متخصص در بدافزار.

رمزگشایی

اما هیچ اطلاعاتی از کسانی که برای رمزگشایی پول پرداخت کرده اند وجود ندارد، همانطور که هیچ اطلاعاتی در مورد قصد هکرها برای آرام کردن روح مردم و رمزگشایی اطلاعات پس از پرداخت وجود ندارد ((((

اما در هاب اطلاعاتی در مورد اصل عملکرد دکمه Decrypt وجود دارد و همچنین این واقعیت که مهاجمان راهی برای شناسایی کاربرانی که بیت کوین ارسال کرده اند ندارند ، به این معنی که هیچ کس چیزی را برای قربانیان بازیابی نمی کند:

رمزگذار دو نوع فایل ایجاد می‌کند: اول، بخشی از آن با استفاده از AES 128 بیتی رمزگذاری می‌شود و کلید رمزگشایی ایجاد شده مستقیماً به فایل رمزگذاری شده اضافه می‌شود. فایل های رمزگذاری شده به این روش پسوند داده می شود .wncyrو اینها هستند که با کلیک بر روی Decrypt رمزگشایی می شوند. بخش عمده ای از موارد رمزگذاری شده پسوند را دریافت می کند .ون گریه کنو کلید دیگر آنجا نیست.
در این حالت رمزگذاری در خود فایل انجام نمی شود، بلکه ابتدا فایلی روی دیسکی که محتوای رمزگذاری شده در آن قرار می گیرد ایجاد می شود و سپس فایل اصلی حذف می شود. بر این اساس، برای مدتی فرصتی برای بازیابی بخشی از داده ها با استفاده از ابزارهای مختلف حذف شده وجود دارد.
برای مبارزه با چنین ابزارهایی، رمزگذار دائماً انواع زباله ها را روی دیسک می نویسد، به طوری که فضای دیسک به سرعت مصرف می شود.
اما اینکه چرا هنوز هیچ اطلاعاتی در مورد پرداخت و مکانیسم های تأیید آن وجود ندارد واقعاً تعجب آور است. شاید مبلغ نسبتاً مناسب (300 دلار) که برای چنین چکی لازم است تأثیر داشته باشد.»

سازندگان ویروس WannaCry حفاظت موقت را در قالب یک دامنه بی معنی دور زدند

سازندگان ویروس باج‌افزار WannaCry که رایانه‌های بیش از ۷۰ کشور را تحت تأثیر قرار داده است، نسخه جدیدی از آن را منتشر کرده‌اند. Motherboard می نویسد که فاقد کد برای دسترسی به یک دامنه بی معنی است که برای جلوگیری از انتشار ویروس اصلی استفاده می شود. این نشریه تأیید ظاهر را دریافت کرده است نسخه جدیدویروس از دو متخصص که موارد جدید عفونت رایانه را مطالعه کردند. یکی از آنها کوستین رایو، رئیس تیم تحقیقاتی بین المللی در آزمایشگاه کسپرسکی است.

کارشناسان مشخص نکردند که آیا تغییرات دیگری در WannaCry ظاهر شده است یا خیر.

اخبار روزهای اخیر همه چیز را در جهان تکان داده است - حمله ویروس Wanna Decrypt0r. چیز تیز و بی رحم است. بنابراین اگر به اندازه کافی خوش شانس بودید که آن را نگرفتید، اما مدت زیادی است که سیستم عامل را به روز نکرده اید، فوراً آن را به روز کنید. به روز رسانی های امنیتی. در عین حال، می توانید به صورت دستی درگاه هایی را که باج افزار از طریق آنها به قربانیان خود می رسد، مسدود کنید.

اطلاعات بیشتر در مورد ویروس، کار، گسترش و سودآوری آن را می توانید در اینجا بیابید:

اقدامات حفاظتی

به عنوان مثال، این کار را می توان با استفاده از دستورات زیر انجام داد:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

دستورات دسترسی به پورت های TCP 135 و 445 را مسدود می کنند. ویروس از طریق آنها در شبکه های محلی پخش می شود.

به هر حال، خبر خوب این است که این مورد Tekla Files را رمزگذاری نمی کند. اما DWG و 3ds خیلی خوب هستند. دلیل دیگری برای مدل سازی با Tekla Structures.

UPD 1

وصله نسخه‌های دزدی win7 برای جلوگیری از خرابی صفحه آبیپس از نصب وصله ها از wannaCry:

بررسی وصله‌ای که آسیب‌پذیری WannaCry را پوشش می‌دهد

• به لینک بالا بروید و کد آپدیت سیستم بالاتر خود را بررسی کنید، به عنوان مثال برای ویندوز 7 یا ویندوز سرور 2008 R2، کد 4012212 یا 4012215 خواهد بود.
• باز کردن cmd.exe (خط فرمان)
• بنویسید: wmic qfe list | findstr 4012212
• Enter را فشار دهید
• اگر چیزی شبیه به این را در پاسخ مشاهده کردید، به این معنی است که پچ از قبل نصب شده است و می توانید با آرامش بخوابید: http://support.microsoft.com/?kbid=4012212 به روز رسانی امنیتی P2 KB4012212 NT AUTHORITY\system 3/18/ 2017
• اگر پاسخ یک رشته خالی را به شما بازگرداند، پچ بعدی را از لیست بررسی کنید
• اگر هیچ وصله ای یافت نشد، توصیه می شود فوراً به روز رسانی نرم افزار را نصب کنید

ویروس رمزگذاری جدید WannaCry یا WanaDecryptor 2.0 که فایل های رمزگذاری شده .wncry را به جای داده های کاربر باقی می گذارد، اینترنت را تکان می دهد. صدها هزار کامپیوتر و لپ تاپ در سراسر جهان تحت تاثیر قرار گرفته اند. نه تنها تحت تأثیر قرار گرفتند کاربران معمولی، اما شبکه های شرکت های بزرگی مانند Sberbank، Rostelecom، Beeline، Megafon، راه آهن روسیه و حتی وزارت امور داخلی روسیه.

چنین گسترش گسترده ای از ویروس باج افزار با استفاده از آسیب پذیری های جدید در سیستم عامل های ویندوز تضمین شد که در اسناد سرویس های اطلاعاتی ایالات متحده از طبقه بندی خارج شدند.

WanaDecryptor، Wanna Cry، WanaCrypt یا Wana Decryptor - کدام نام صحیح است؟

در زمانی که حمله ویروسی به وب جهانی آغاز شد، هیچ کس دقیقاً نمی دانست که عفونت جدید چه نام دارد. ابتدا با او تماس گرفتند Wana Decrypt0rبا نام پنجره پیامی که روی دسکتاپ ظاهر می شود. کمی بعد، اصلاح جدیدی از رمزگذار ظاهر شد - Wanna Decrypt0r 2.0. اما باز هم، این یک پنجره باج‌افزار است که در واقع یک کلید رمزگشا را به کاربر می‌فروشد، که از نظر تئوری باید پس از انتقال مبلغ مورد نیاز قربانی به کلاهبرداران، به دست قربانی برسد. خود ویروس، همانطور که معلوم است، نامیده می شود می خواهی گریه کنی(لبه حمام).
هنوز هم می توانید نام های مختلفی از آن را در اینترنت پیدا کنید. علاوه بر این ، کاربران اغلب به جای حرف "o" عدد "0" را قرار می دهند و بالعکس. دستکاری های مختلف با فضاها نیز باعث سردرگمی بزرگ می شود، به عنوان مثال WanaDecryptor و Wana Decryptor، یا WannaCry و Wanna Cry.

نحوه عملکرد WanaDecryptor

اصل عملکرد این باج افزار با ویروس های باج افزار قبلی که با آن ها مواجه شده ایم تفاوت اساسی دارد. قبلاً برای اینکه یک عفونت روی رایانه شروع به کار کند، ابتدا باید راه اندازی می شد. یعنی کاربر با گوش دراز نامه ای با یک پیوست حیله گرانه از طریق پست دریافت کرد - فیلمنامه ای که به عنوان نوعی سند ظاهر می شود. شخص فایل اجرایی را راه اندازی کرد و از این طریق آلودگی سیستم عامل را فعال کرد. ویروس Bath Edge متفاوت عمل می کند. او نیازی به تلاش برای فریب کاربر ندارد، کافی است که آسیب پذیری بحرانی سرویس در دسترس او باشد. دسترسی عمومیبه فایل های SMBv1 با استفاده از پورت 445. به هر حال، این آسیب پذیری به لطف اطلاعات آرشیو سازمان های اطلاعاتی آمریکا منتشر شده در وب سایت ویکی لیکس در دسترس قرار گرفت.
زمانی که WannaCrypt روی رایانه قربانی قرار گرفت، با استفاده از الگوریتم بسیار قوی خود، رمزگذاری فایل ها را به صورت انبوه آغاز می کند. قالب های زیر عمدتا تحت تأثیر قرار می گیرند:

کلید, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, خام, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

پسوند فایل رمزگذاری شده تغییر می کند .ون گریه کن. ویروس باج افزار می تواند دو فایل دیگر را به هر پوشه اضافه کند. اولی دستورالعملی است که نحوه رمزگشایی فایل wncry Please_Read_Me.txt را توضیح می دهد و دومی برنامه رمزگشایی WanaDecryptor.exe است.
این ترفند کثیف بی سر و صدا و مسالمت آمیز عمل می کند تا زمانی که به همه ضربه بزند. HDD، پس از آن یک پنجره WanaDecrypt0r 2.0 نمایش داده می شود که از شما می خواهد پول بدهید. اگر کاربر اجازه نداد کار تمام شود و آنتی ویروس بتواند برنامه رمزنگاری را حذف کند، پیام زیر روی دسکتاپ ظاهر می شود:

یعنی به کاربر هشدار داده می‌شود که برخی از فایل‌های او قبلاً تحت تأثیر قرار گرفته‌اند و اگر می‌خواهید آن‌ها را پس بگیرید، رمزارز را برگردانید. آره، حالا! تحت هیچ شرایطی این کار را نکنید وگرنه بقیه را از دست خواهید داد. توجه! هیچ کس نمی داند چگونه فایل های WNCRY را رمزگشایی کند. خدا حافظ. شاید بعداً نوعی ابزار رمزگشایی ظاهر شود - صبر می کنیم و خواهیم دید.

محافظت در برابر ویروس Wanna Cry

به طور کلی، پچ مایکروسافت MS17-010 برای محافظت در برابر باج‌افزار Wanna Decryptor در 12 می منتشر شد و اگر این سرویس در رایانه شخصی شما به روز رسانی ویندوزاونوقت خوب کار میکنه
احتمال بیشتری دارد سیستم عاملقبلا محافظت شده است در غیر این صورت، باید این پچ مایکروسافت را برای خود دانلود کنید نسخه های ویندوزو بلافاصله آن را نصب کنید.
سپس توصیه می شود که پشتیبانی SMBv1 را به طور کلی غیرفعال کنید. حداقل تا زمانی که موج اپیدمی فروکش کند و اوضاع آرام شود. این کار را می توان از طریق خط فرمان با حقوق Administrator با وارد کردن دستور انجام داد:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

یا از طریق پنل مدیریت ویندوز. در آنجا باید به بخش "برنامه ها و ویژگی ها" بروید، "روشن یا خاموش کردن" را از منو انتخاب کنید. اجزای ویندوز" پنجره ای ظاهر می شود:

مورد "پشتیبانی برای اشتراک گذاری فایل SMB 1.0/CIFS" را پیدا کنید، علامت آن را بردارید و روی "OK" کلیک کنید.

اگر به طور ناگهانی مشکلاتی با غیرفعال کردن پشتیبانی SMBv1 ایجاد شد، برای محافظت در برابر Wanacrypt0r 2.0 می توانید مسیر دیگری را انتخاب کنید. یک قانون در فایروال مورد استفاده در سیستم ایجاد کنید که پورت های 135 و 445 را مسدود می کند. دیوار آتش ویندوزباید وارد شود خط فرمانذیل:

فایروال netsh advfirewall add rule dir=in action=block protocol=TCP localport=135 name=»Close_TCP-135″
فایروال netsh advfirewall add rule dir=in action=block protocol=TCP localport=445 name=»Close_TCP-445″

یکی دیگر از گزینه ها استفاده از ویژه است برنامه رایگانپاک کننده درب های کرم ویندوز:

این نیازی به نصب ندارد و به شما امکان می دهد به راحتی شکاف های سیستم را ببندید که از طریق آن یک ویروس رمزگذاری می تواند وارد آن شود.

و البته، ما نمی توانیم محافظت ضد ویروس را فراموش کنیم. فقط از محصولات آنتی ویروس اثبات شده استفاده کنید - DrWeb، Kaspersky Internet Security، E-SET Nod32. اگر از قبل یک آنتی ویروس نصب کرده اید، حتما پایگاه داده آن را به روز کنید:

در نهایت، من یک توصیه کوچک به شما می کنم. اگر داده های بسیار مهمی دارید که از دست دادن آنها بسیار نامطلوب است، آنها را روی یک هارد دیسک قابل جابجایی ذخیره کنید و در کمد قرار دهید. حداقل برای مدت اپیدمی. این تنها راه برای تضمین ایمنی آنهاست، زیرا هیچ کس نمی داند اصلاح بعدی چه خواهد بود.