Ինչպես վերծանել ֆայլերը WannaCry-ից հետո: Զանգվածային վարակ WannaCry ransomware-ով - @ [էլփոստը պաշտպանված է]Ուզում եք գաղտնազերծել 2 0 ապակոդավորող ֆայլեր

Ուշադրություն.Նոր ընդլայնումներ, էլփոստի և փրկագնի տեքստեր կարելի է գտնել հոդվածի վերջում՝ թարմացումներում: Հնարավոր է տարբերություններ լինեն սկզբնական տարբերակից:

Այս կրիպտոփրկագինի գործունեությունը տեղի է ունեցել 2018 թվականի դեկտեմբերի կեսերին։ Այն ուղղված է անգլիախոս օգտատերերին, ինչը չի խանգարում դրա տարածմանը ամբողջ աշխարհում։

Փրկագնի նշումը կողպէկրանն է.

Տեխնիկական մանրամասներ

Այս փրկագնի հետ կապված ռեեստրի գրառումները.


Ցանցային կապեր և հաղորդակցություններ.
Այլ հասցեների և կոնտակտների համար տե՛ս ստորև ներկայացված թարմացումները:
Ստորև տեսեք թեստի արդյունքները:

Փորձարկման արդյունքներ.
Ⓗ Հիբրիդային վերլուծություն >>
𝚺

Վերջերս հայտնաբերվել է Ինտերնետ անվտանգության կենտրոն 360 նոր տեսակըՓրկագին ուղղված է ինչպես ձեռնարկություններին, այնպես էլ անհատներին բազմաթիվ երկրներում և տարածաշրջաններում: Հայտնաբերումից հետո մայիսի 12-ին 360-ը ժամանակին արտակարգ նախազգուշացում է տվել՝ օգտատերերին հիշեցնելու գալիք ռիսկերի մասին: Այս փրկագին տարածվում է բարձր արագությունԱմբողջ աշխարհում։ Թերի վիճակագրության համաձայն՝ պայթյունից ընդամենը մի քանի ժամում 99 երկրներում վարակվել են տասնյակ հազարավոր սարքեր, և այս Network Worm-ը դեռ փորձում է ընդլայնել իր ազդեցությունը։

Որպես կանոն, փրկագին վիրուսը չարամիտ ծրագիր է՝ շորթման բացահայտ մտադրությամբ: Այն գաղտնագրում է զոհի ֆայլերը ասիմետրիկ գաղտնագրման ալգորիթմով՝ դարձնելով դրանք անհասանելի և փրկագին պահանջելով դրանց վերծանման համար։ Եթե ​​փրկագինը չվճարվի, ֆայլերը չեն կարող վերականգնվել: Այս նոր տեսակը ստացել է WanaCrypt0r ծածկանունը: Նրան այդքան մահացու է դարձնում այն, որ նա օգտագործել է NSA-ից գողացված «EternalBLue» հաքերային գործիքը: Սա նաև բացատրում է, թե ինչու է WanaCrypt0r-ը կարողանում արագ տարածվել աշխարհով մեկ և շատ կարճ ժամանակում մեծ կորուստներ պատճառել։ Մայիսի 12-ին Network Worms-ի կոտրումից հետո 360 Internet Security Center-ի Core Security թիմն իրականացրել է մանրակրկիտ մոնիտորինգ և խորը վերլուծություն: Այժմ մենք կարող ենք թողարկել մի շարք հայտնաբերման գործիքներ, տվյալների պաշտպանության և վերականգնման լուծումներ WanaCrypt0r-ի դեմ:

360 Helios Team-ը Core Security բաժնի APT (Advanced Persistent Attack) հետազոտական ​​և վերլուծական թիմ է, որը հիմնականում նվիրված է APT հարձակման հետաքննությանը և սպառնալիքների միջադեպերին արձագանքելուն: Անվտանգության հետազոտողները մանրազնին վերլուծել են վիրուսների մեխանիզմը՝ գտնելու կոդավորված ֆայլերը վերականգնելու ամենաարդյունավետ և ճշգրիտ մեթոդը: Օգտագործելով այս մեթոդը՝ 360-ը կարող է դառնալ անվտանգության առաջին մատակարարը, որը թողարկել է տվյալների վերականգնման գործիք՝ «360 Ransomware Infected File Recovery»՝ օգնելու իր հաճախորդներին արագ և ամբողջությամբ վերականգնել վարակված ֆայլերը: Հուսով ենք, որ այս հոդվածը կօգնի ձեզ հասկանալ այս ճիճու հնարքները, ինչպես նաև կոդավորված ֆայլերը վերականգնելու ավելի լայն քննարկումը:

Գլուխ 2 Հիմնական գաղտնագրման գործընթացների վերլուծություն

Այս Worm-ը թողարկում է կոդավորման մոդուլը հիշողության մեջ և ուղղակիորեն բեռնում է DLL-ը հիշողության մեջ: Այնուհետև DLL-ն արտահանում է TaskStart ֆունկցիան, որը պետք է օգտագործվի գաղտնագրման ողջ գործընթացը սկսելու համար: DLL դինամիկ մուտք է գործում ֆայլային համակարգև գաղտնագրման հետ կապված API գործառույթներ՝ ստատիկ հայտնաբերումից խուսափելու համար:

1. Սկզբնական փուլ

Այն նախ օգտագործում է «SHGetFolderPathW»՝ աշխատասեղանի և ֆայլերի թղթապանակի ուղիները ստանալու համար: Այնուհետև այն կկանչի «10004A40» ֆունկցիան՝ այլ օգտատերերի աշխատասեղանների և ֆայլերի թղթապանակների ուղին գտնելու համար, և կկանչի EncrytFolder ֆունկցիան՝ թղթապանակներն առանձին գաղտնագրելու համար:

Այն երկու անգամ անցնում է բոլոր կրիչներով՝ Z-ից մինչև C: Առաջին սկանավորումը սկսում է բոլոր լոկալ կրիչներ (բացի դրայվեր-CD-ից): Երկրորդ սկանավորումը ստուգում է բոլոր շարժական սկավառակները և կանչում է EncrytFolder ֆունկցիան՝ ֆայլերը գաղտնագրելու համար:

2.Ֆայլի անցում

«EncryptFolder» ֆունկցիան ռեկուրսիվ ֆունկցիա է, որը կարող է հավաքել ֆայլի տեղեկատվությունը հետևյալ ընթացակարգով.

Հեռացրեք ֆայլի ուղիները կամ թղթապանակները խաչաձև գործընթացի ընթացքում.

Կա մի հետաքրքիր թղթապանակ, որը կոչվում է «Այս թղթապանակը պաշտպանում է փրկագիններից: Այն փոխելը կնվազեցնի պաշտպանությունը»: Երբ դա անեք, կտեսնեք, որ այն համընկնում է փրկագնի պաշտպանության ծրագրաշարի պաշտպանության թղթապանակին:

Ֆայլերը սողալու ժամանակ փրկագինը հավաքում է տեղեկություններ ֆայլի մասին, օրինակ՝ ֆայլերի չափը, և այնուհետև դասակարգում է ֆայլերը. տարբեր տեսակներդրանց ընդլայնման համաձայն՝ հետևելով որոշակի կանոնների.

Ընդլայնման տիպի ցանկ 1:

Ընդլայնման տեսակների ցանկ 2.

3. Գաղտնագրման առաջնահերթություն

Կոդավորելու համար կարևոր ֆայլերորքան հնարավոր է արագ, WanaCrypt0r-ը մշակեց բարդ առաջնահերթ հերթ.

Առաջնահերթ հերթ.

I.Encrypt տիպի 2 ֆայլեր, որոնք նույնպես համապատասխանում են 1-ին ընդլայնման ցանկին: Եթե ֆայլը փոքր է 0X400-ից, գաղտնագրման առաջնահերթությունը կկրճատվի:
II. Գաղտնագրեք 3-րդ տիպի ֆայլերը, որոնք նույնպես համապատասխանում են 2-րդ ընդլայնման ցանկին: Եթե ֆայլը 0X400-ից փոքր է, գաղտնագրման առաջնահերթությունը կկրճատվի:
III. Գաղտնագրեք այլ ֆայլեր (0x400-ից պակաս) և այլ ֆայլեր:

4.Կոդավորման տրամաբանություն

Գաղտնագրման ամբողջ գործընթացը ավարտված է RSA-ի և AES-ի միջոցով: Չնայած RSA կոդավորման գործընթացն օգտագործում է Microsoft CryptAPI-ն, AES կոդը ստատիկ կերպով կազմվում է DLL-ում: Գաղտնագրման գործընթացը ներկայացված է ստորև բերված նկարում.

Օգտագործված ստեղների ցանկ.

Ֆայլի ձևաչափը գաղտնագրումից հետո.

Նկատի ունեցեք, որ գաղտնագրման գործընթացի ընթացքում փրկագինը պատահականորեն կընտրի որոշ ֆայլեր՝ գաղտնագրելու համար՝ օգտագործելով ներկառուցված RSA հանրային բանալին՝ բազմաթիվ ֆայլեր առաջարկելու համար, որոնք տուժածները կարող են անվճար վերծանել:

Ազատ ֆայլերի ուղին կարելի է գտնել «f.wnry» ֆայլում:

5. Պատահական թվերի լրացում

Գաղտնագրվելուց հետո WanaCrypt0r-ը կլցնի իր համար կարևոր ֆայլերը պատահական թվերով, մինչև այն ամբողջությամբ չկործանի ֆայլը, այնուհետև ֆայլերը տեղափոխի ժամանակավոր ֆայլերի գրացուցակ՝ ջնջելու համար: Դրանով դա բավականին դժվարացնում է ֆայլերի վերականգնման գործիքների համար ֆայլերի վերականգնումը:Միևնույն ժամանակ դա կարող է արագացնել գաղտնագրման գործընթացը:

Ավարտված ֆայլերը պետք է համապատասխանեն հետևյալ պահանջներին.

- Նշված գրացուցակում (աշխատասեղան, իմ փաստաթուղթը, օգտագործողի թղթապանակը)

— Ֆայլը 200 ՄԲ-ից պակաս է

— Ֆայլի ընդլայնումը ընդլայնման տեսակների ցանկում է 1

Ֆայլի լրացման տրամաբանությունը.

- Եթե ֆայլը 0x400-ից փոքր է, այն ծածկված կլինի նույն երկարության պատահական թվերով

- Եթե ֆայլը մեծ է 0x400-ից, ապա վերջին 0x400-ը ծածկված կլինի պատահական թվերով

- Ֆայլի ցուցիչը տեղափոխեք ֆայլի վերնագիր և սահմանեք 0x40000 որպես տվյալների բլոկ՝ ֆայլը պատահական թվերով ծածկելու համար մինչև վերջ:

6. Ջնջել ֆայլերը

WanaCrypt0r-ը նախ ֆայլերը կտեղափոխի ժամանակավոր թղթապանակ՝ ժամանակավոր ֆայլ ստեղծելու համար, այնուհետև այն կջնջի տարբեր ձևերով:

Երբ այն տեղափոխում է կրիչներ՝ ֆայլերը գաղտնագրելու համար, այն կստեղծի ժամանակավոր ֆայլ, որը կոչվում է «$RECYCLE + auto increment + .WNCYRT» (օրինակ՝ «D:\$RECYCLE\1.WNCRYT») ձևաչափով ընթացիկ սկավառակի վրա: Հատկապես, եթե ընթացիկ սկավառակը համակարգային է (օրինակ՝ դրայվեր-C), այն կօգտագործի համակարգի ժամանակավոր գրացուցակը:

Այնուհետև գործընթացը սկսվում է taskdl.exe-ով և ֆիքսված ժամանակային ընդմիջումով ջնջում է ժամանակավոր ֆայլերը:

Գլուխ 3 Տվյալները վերականգնելու ունակություն

Իր կատարման տրամաբանության վերլուծության ժամանակ մենք նկատեցինք, որ այս Worm-ը կվերագրի նշված պահանջներին համապատասխանող ֆայլերը պատահական թվերով կամ 0x55, որպեսզի ոչնչացնի ֆայլի կառուցվածքները և կանխի դրանց վերականգնումը: Բայց այս գործողությունը ընդունվում է միայն որոշակի ֆայլերի կամ որոշակի ընդլայնմամբ ֆայլերի համար: Սա նշանակում է, որ դեռ շատ ֆայլեր կան, որոնք չեն վերագրվել, ինչի շնորհիվ ֆայլերը վերականգնելու տեղ են թողնում:

Ջնջման գործընթացում որդը սկզբնաղբյուր ֆայլերը տեղափոխեց ժամանակավոր ֆայլի պանակ՝ կանչելով MoveFileEx ֆունկցիան։ Ի վերջո, ժամանակավոր ֆայլերը ջնջվում են զանգվածաբար: Վերոնշյալ գործընթացի ընթացքում բնօրինակ ֆայլերը կարող են փոփոխվել, սակայն շուկայում առկա տվյալների վերականգնման ընթացիկ ծրագրակազմը տեղյակ չէ այդ մասին, ուստի բավականին շատ ֆայլեր չեն կարող հաջողությամբ վերականգնվել: Զոհերին վերականգնելու համար ֆայլերի անհրաժեշտությունը գրեթե երբեք չի գիտակցվում:

Այլ ֆայլերի համար որդը պարզապես գործադրեց «տեղափոխել և ջնջել» հրամանը: Քանի որ ֆայլերի ջնջման և ֆայլերի տեղափոխման գործընթացը առանձին է, այս երկու շղթաները կմրցեն միմյանց հետ, ինչը կարող է հանգեցնել ֆայլի տեղափոխման ձախողման՝ տարբերությունների պատճառով: համակարգի միջավայրըօգտագործող. Արդյունքում, ֆայլը կջնջվի անմիջապես ընթացիկ վայրում: Այս դեպքում կա Մեծ հնարավորությունոր ֆայլը կարող է վերականգնվել:

https://360totalsecurity.com/s/ransomrecovery/

Օգտագործելով վերականգնման մեր մեթոդները, գաղտնագրված ֆայլերի մեծ տոկոսը կարող է կատարելապես վերականգնվել: Հիմա թարմացված տարբերակ 360 ֆայլերի վերականգնման գործիքը մշակվել է ի պատասխան այս անհրաժեշտության՝ օգնելու տասնյակ հազարավոր զոհերի մեղմել կորուստն ու ազդեցությունը:

Մայիսի 14, 360-ը անվտանգության առաջին մատակարարն է, որը թողարկել է ֆայլերի վերականգնման գործիք, որը փրկել է բազմաթիվ ֆայլեր փրկագինից: Այս նոր տարբերակը ևս մեկ քայլ է կատարում WanaCrypt0r-ի տրամաբանական խոցելիության օգտագործման համար: Այն կարող է հեռացնել վիրուսը՝ հետագա վարակումը կանխելու համար: Օգտագործելով մի քանի ալգորիթմներ, այն կարող է գտնել թաքնված հղումներ անվճար վերականգնվող ֆայլերի և հաճախորդների համար վերծանված ֆայլերի միջև: Այս ամբողջական վերականգնման ծառայությունը կարող է մեղմել փրկագին հարձակման վնասը և պաշտպանել օգտվողի տվյալների անվտանգությունը:

Գլուխ 4 Եզրակացություն

WannaCry ճիճուների զանգվածային բռնկում և տարածում MS17-010-ի օգտագործման միջոցով, ինչը հնարավորություն է տալիս այն ինքնակրկնվել և ակտիվորեն տարածվել՝ ի լրումն ընդհանուր փրկագինի գործառույթների: Մի կողմ թողնելով հարձակման ծանրաբեռնվածությունը, փրկագին վիրուսի տեխնիկական կառուցվածքը ամենակարևոր դերն է խաղում հարձակումներում: Փրկագին վիրուսը գաղտնագրում է AES բանալին՝ օգտագործելով RSA-2048 ասիմետրիկ ծածկագրման ալգորիթմը: Յուրաքանչյուր ֆայլ այնուհետև գաղտնագրվում է պատահական AES-128 սիմետրիկ գաղտնագրման ալգորիթմի միջոցով: Սա նշանակում է հենվել առկա հաշվարկների և մեթոդների վրա՝ RSA-2048 և AES-128 գաղտնազերծելու համար՝ առանց որևէ բաց կամ անձնական բանալիներգրեթե անհնար է. Այնուամենայնիվ, հեղինակները որոշ սխալներ են թողնում կոդավորման գործընթացում, ինչը ապահովում և մեծացնում է վերականգնման հնարավորությունը։ Եթե ​​քայլերը բավականաչափ արագ են, տվյալների մեծ մասը կարող է հետ պահվել:

Բացի այդ, քանի որ փրկագնի գումարը վճարվում է անանուն բիթքոյններով, որոնց համար յուրաքանչյուրը կարող է հասցե ստանալ առանց իսկական հավաստագրման, հնարավոր չէ նույնականացնել հարձակվողին հասցեներից, առավել ևս նույն սեփականատիրոջ հասցեի տարբեր հաշիվների միջև: Հետևաբար, գաղտնագրման անխախտելի ալգորիթմի և անանուն բիթքոինների ընդունման պատճառով, մեծ է հավանականությունը, որ փրկագինների այս տեսակի շահութաբեր բռնկումը դեռ երկար կշարունակվի: Բոլորը պետք է զգույշ լինեն.

360 Helios թիմ

360 Helios Team-ը APT (Ընդլայնված համառ հարձակում) հետազոտական ​​թիմն է Qihoo 360-ում:

Թիմը նվիրված է APT-ի հարձակումների հետաքննությանը, սպառնալիքների միջադեպերին արձագանքելուն և ստորգետնյա տնտեսության արդյունաբերական շղթաների հետաքննությանը:

2014 թվականի դեկտեմբերի սկզբից ի վեր թիմը հաջողությամբ ինտեգրել է հսկայական 360 տվյալների բազա և ստեղծել արագ հակադարձման և հարաբերակցության ընթացակարգ: Մինչ այժմ հայտնաբերվել և բացահայտվել են ավելի քան 30 APT և ընդհատակյա տնտեսության խմբեր:

360 Helios-ը նաև տրամադրում է սպառնալիքների գնահատման և արձագանքման լուծումներ ձեռնարկությունների համար:

հանրային գրառումներ

Կապ
Էլ Փոստ: [էլփոստը պաշտպանված է]
WeChat խումբ՝ 360 Helios թիմ
Խնդրում ենք ներբեռնել ստորև ներկայացված QR կոդը՝ մեզ WeChat-ում հետևելու համար:

WannaCry- հատուկ ծրագիր, որն արգելափակում է համակարգի բոլոր տվյալները և օգտատիրոջը թողնում է ընդամենը երկու ֆայլ՝ հրահանգներ հետագա անելիքների վերաբերյալ, և ինքը՝ Wanna Decryptor ծրագիրը՝ տվյալների ապակողպման գործիք։

Համակարգչային անվտանգության ընկերություններից շատերն ունեն փրկագին վերծանման գործիքներ, որոնք կարող են շրջանցել ծրագրակազմը: Սովորական մահկանացուների համար «բուժման» մեթոդը դեռ անհայտ է։

WannaCry Decryptor (կամ WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),արդեն կոչվում է «2017 թվականի վիրուս»։ Եվ դա ամենևին էլ անհիմն չէ։ Իր բաշխման մեկնարկից ի վեր միայն առաջին 24 ժամվա ընթացքում այս փրկագին հարվածել է ավելի քան 45000 համակարգչի: Որոշ հետազոտողներ կարծում են, որ այս պահին (մայիսի 15-ին) արդեն վարակված են ավելի քան մեկ միլիոն համակարգիչներ և սերվերներ։ Հիշեցնենք, որ վիրուսը սկսել է տարածվել մայիսի 12-ին։ Առաջինը տուժել են օգտատերերը Ռուսաստանից, Ուկրաինայից, Հնդկաստանից և Թայվանից։ Միաժամանակ վիրուսը մեծ արագությամբ տարածվում է Եվրոպայում, ԱՄՆ-ում և Չինաստանում։

Համակարգիչների և սերվերների մասին տեղեկատվությունը ծածկագրված էր հասարակական հաստատություններ(մասնավորապես՝ Ռուսաստանի ՆԳՆ), հիվանդանոցներ, անդրազգային կորպորացիաներ, համալսարաններ և դպրոցներ։

Wana Decryptor-ը (Wanna Cry կամ Wana Decrypt0r) կաթվածահար է արել հարյուրավոր ընկերությունների և պետական ​​կառույցների աշխատանքը ամբողջ աշխարհում:

Ըստ էության, WinCry-ն (WannaCry) EternalBlue ընտանիքի շահագործումն է, որն օգտագործում է բավականին հին խոցելիություն Windows օպերացիոն համակարգում (Windows XP, Windows Vista, Windows 7, Windows 8 և Windows 10) և լուռ բեռնվում է համակարգում: Այնուհետև, օգտագործելով գաղտնազերծման դիմացկուն ալգորիթմներ, այն գաղտնագրում է օգտատիրոջ տվյալները (փաստաթղթեր, լուսանկարներ, տեսանյութեր, աղյուսակներ, տվյալների բազաներ) և փրկագին է պահանջում տվյալների վերծանման համար: Սխեման նոր չէ, մենք անընդհատ գրում ենք ֆայլերի կոդավորման նոր տեսակների մասին, բայց ահա բաշխման նոր մեթոդ: Եվ սա հանգեցրեց համաճարակի։

Ինչպես է աշխատում վիրուսը

Չարամիտ ծրագիրը սկանավորում է հյուրընկալողներին ինտերնետում, որոնք փնտրում են բաց TCP 445 պորտով համակարգիչներ, որոնք պատասխանատու են SMBv1 արձանագրության սպասարկման համար: Գտնելով նման համակարգիչ՝ ծրագիրը մի քանի փորձեր է անում՝ օգտագործելու EternalBlue խոցելիությունը դրա վրա և հաջողության դեպքում տեղադրում է DoublePulsar հետնադուռը, որի միջոցով բեռնվում և գործարկվում է WannaCry ծրագրի գործարկվող կոդը։ Շահագործման յուրաքանչյուր փորձի ժամանակ չարամիտ ծրագիրը ստուգում է թիրախային համակարգչում DoublePulsar-ի առկայությունը և, եթե հայտնաբերվում է, բեռնվում է անմիջապես այս հետնադռան միջոցով:

Ի դեպ, այդ ուղիները չեն վերահսկվում ժամանակակից հակավիրուսային ծրագրերի կողմից, ինչի պատճառով վարակն այդքան տարածված է դարձել։ Եվ սա հսկայական քար է հակավիրուսային ծրագրեր մշակողների այգում: Ինչպե՞ս կարելի էր դա թույլ տալ: Ինչի՞ համար եք փող վերցնում։

Գործարկվելուց հետո չարամիտ ծրագիրը գործում է որպես դասական փրկագին. այն ստեղծում է եզակի RSA-2048 ասիմետրիկ բանալիների զույգ յուրաքանչյուր վարակված համակարգչի համար: Այնուհետև WannaCry-ն սկսում է սկանավորել համակարգը՝ փնտրելով որոշակի տիպի օգտատերերի ֆայլեր՝ անձեռնմխելի թողնելով դրանք, որոնք կարևոր են դրա հետագա գործունեության համար: Յուրաքանչյուր ընտրված ֆայլ կոդավորված է AES-128-CBC ալգորիթմի միջոցով՝ յուրաքանչյուրի համար եզակի (պատահական) բանալիով, որն իր հերթին գաղտնագրվում է վարակված համակարգի հանրային RSA բանալիով և պահվում գաղտնագրված ֆայլի վերնագրում: Միևնույն ժամանակ, ընդլայնումը ավելացվում է յուրաքանչյուր կոդավորված ֆայլին: .բղավել. Վարակված համակարգի RSA ստեղների զույգը կոդավորված է հարձակվողների հանրային բանալիով և ուղարկվում է նրանց վերահսկիչ սերվերների վրա, որոնք գտնվում են. Tor ցանցեր, որից հետո բոլոր ստեղները ջնջվում են վարակված մեքենայի հիշողությունից։ Կոդավորման գործընթացն ավարտելուց հետո ծրագիրը ցուցադրում է պատուհան՝ երեք օրվա ընթացքում նշված դրամապանակին բիթքոիններով որոշակի քանակություն (300 ԱՄՆ դոլարին համարժեք դոլար) փոխանցելու պահանջով։ Եթե ​​փրկագինը ժամանակին չստացվի, ապա դրա գումարն ավտոմատ կկրկնապատկվի։ Յոթերորդ օրը, եթե WannaCry-ն չհեռացվի վարակված համակարգից, կոդավորված ֆայլերը ոչնչացվում են։ Հաղորդագրությունը ցուցադրվում է այն լեզվով, որը համապատասխանում է համակարգչում տեղադրված լեզվին: Ընդհանուր առմամբ, ծրագիրը աջակցում է 28 լեզուների: Գաղտնագրման հետ մեկտեղ ծրագիրը սկանավորում է կամայական ինտերնետ և տեղական ցանցի հասցեները՝ նոր համակարգիչների հետագա վարակման համար:

Symantec-ի ուսումնասիրության համաձայն՝ հարձակվողի ալգորիթմը՝ յուրաքանչյուր զոհի անհատական ​​վճարումներին հետևելու և նրանց գաղտնազերծման բանալի ուղարկելու համար, իրականացվում է ռասայական վիճակի սխալմամբ: Սա անիմաստ է դարձնում փրկագին վճարումները, քանի որ առանձին բանալիներ, այնուամենայնիվ, չեն ուղարկվի, և ֆայլերը կմնան կոդավորված: Այնուամենայնիվ, կա վերծանման հուսալի մեթոդ օգտվողի ֆայլեր 200 ՄԲ-ից փոքր, ինչպես նաև ավելի մեծ ֆայլեր վերականգնելու որոշ հնարավորություններ: Բացի այդ, հնացածի վրա Windows համակարգեր XP և Windows Server 2003 համակարգում հաշվարկային ալգորիթմի ներդրման շնորհիվ կեղծ պատահական թվերնույնիսկ հնարավոր է վերականգնել մասնավոր RSA ստեղները և վերծանել բոլոր տուժած ֆայլերը, եթե համակարգիչը վարակվելուց հետո չի վերագործարկվել: Ավելի ուշ Comae Technologies-ի կիբերանվտանգության ֆրանսիացի փորձագետների խումբը ընդլայնեց այս հնարավորությունը Windows 7-ի վրա և այն գործի դրեց՝ հանրային տիրույթում կոմունալ ծրագիր հրապարակելով: WanaKiwi, որը թույլ է տալիս գաղտնազերծել ֆայլերը՝ առանց փրկագնի։

Կոդով վաղ տարբերակներըԾրագրին տրամադրվել է ինքնաոչնչացման մեխանիզմ՝ այսպես կոչված Kill Switch - ծրագիրը ստուգել է երկու կոնկրետ ինտերնետային տիրույթների առկայությունը և, եթե դրանք եղել են, ամբողջությամբ հեռացվել է համակարգչից։ Սա առաջին անգամ հայտնաբերվել է 2017 թվականի մայիսի 12-ին Մարկուս Հաթչինսի կողմից (անգլերեն)ռուսերեն Բրիտանական Kryptos Logic ընկերության 22-ամյա վիրուսների վերլուծաբանը Twitter-ում գրել է @MalwareTechBlog բռնակի տակ և գրանցել տիրույթներից մեկը իր անունով։ Այսպիսով, նա կարողացավ ժամանակավորապես մասամբ արգելափակել վնասակար ծրագրի այս փոփոխության բաշխումը։ Մայիսի 14-ին գրանցվել է նաեւ երկրորդ դոմենը։ Վիրուսի հետագա տարբերակներում ինքնաանջատման այս մեխանիզմը հանվել է, սակայն սկզբնական տարբերակում դա չի արվել։ ծրագրի կոդը, բայց խմբագրելով գործարկվող ֆայլը, ինչը հուշում է, որ այս ուղղման ծագումը ոչ թե բնօրինակ WannaCry-ի հեղինակներից է, այլ երրորդ կողմի հարձակվողներից։ Արդյունքում վնասվել է գաղտնագրման մեխանիզմը, և ճիճու այս տարբերակը կարող է տարածվել միայն ինքն իրեն՝ գտնելով խոցելի համակարգիչներ, բայց ի վիճակի չէ ուղղակիորեն վնասել դրանց։

WannaCry-ի տարածման բարձր արագությունը, որը եզակի է փրկագին ծրագրերի համար, ապահովված է 2017 թվականի փետրվարին հրապարակված օպերացիոն համակարգի SMB ցանցի արձանագրության խոցելիության օգտագործմամբ: Microsoft Windowsնկարագրված է MS17-010 տեղեկագրում: Եթե ​​դասական սխեմայով փրկագին մուտք է գործել համակարգիչ՝ հենց օգտատիրոջ գործողությունների պատճառով. էլկամ վեբ հղում, ապա WannaCry-ի դեպքում օգտատերերի մասնակցությունը լիովին բացառված է։ Խոցելի համակարգչի հայտնաբերման և դրա ամբողջական վարակման միջև ընկած ժամանակահատվածը մոտ 3 րոպե է:

Մշակող ընկերությունը հաստատեց խոցելիության առկայությունը բացարձակապես բոլոր օգտագործողների և սերվերի արտադրանքներում, որոնք ներդնում են SMBv1 արձանագրությունը՝ սկսած Windows XP/Windows Server 2003-ից մինչև Windows 10/Windows Server 2016: 2017 թվականի մարտի 14-ին Microsoft-ը թողարկեց մի շարք: թարմացումներ, որոնք նախատեսված են բոլոր աջակցվող ՕՀ-երում խոցելիությունը չեզոքացնելու համար: WannaCry-ի բաշխումից հետո ընկերությունը ձեռնարկեց աննախադեպ քայլ՝ մայիսի 13-ին թողարկելով նաև թարմացումներ վերջնական սպասարկման արտադրանքների համար (Windows XP, Windows Server 2003 և Windows 8):

WannaCry վիրուսի տարածումը

Վիրուսը կարող է տարածվել տարբեր ձևերով.

• Մեկ համակարգչային ցանցի միջոցով;
• Փոստի միջոցով;
• Բրաուզերի միջոցով:

Անձամբ ես այնքան էլ չեմ հասկանում, թե ինչու: ցանցային միացումչի սկանավորվել հակավիրուսով: Վարակման նույն մեթոդը, ինչպես կայք կամ բրաուզեր այցելելու միջոցով, ապացուցում է ծրագրավորողների անօգնականությունը և այն փաստը, որ համակարգչի պաշտպանության համար լիցենզավորված ծրագրաշարի համար պահանջվող միջոցները որևէ կերպ արդարացված չեն:

Վարակման ախտանիշները և վիրուսի բուժումը

Օգտագործողի ԱՀ-ում հաջող տեղադրվելուց հետո WannaCry-ը փորձում է ճիճու պես տարածվել լոկալ ցանցով այլ համակարգիչների վրա: Կոդավորված ֆայլերը ստանում են համակարգի ընդլայնումը .WCRY և դառնում են ամբողջովին անընթեռնելի, և հնարավոր չէ դրանք ինքնուրույն վերծանել: Ամբողջական գաղտնագրումից հետո Wcry-ն փոխում է աշխատասեղանի պաստառը և թողնում «հրահանգներ»՝ գաղտնագրված տվյալների թղթապանակներում ֆայլերը վերծանելու համար։

Սկզբում հաքերները գաղտնազերծման բանալիների համար կորզել են 300 դոլար, սակայն հետո այդ թիվը հասցրել են 600 դոլարի։

Ինչպե՞ս կանխել WannaCry Decryptor-ը ձեր համակարգչի վարակումը:

Ներբեռնեք օպերացիոն համակարգի թարմացումը Microsoft-ի կայքից:

Ինչ անելՁեր համակարգիչը վարակվա՞ծ է:

Օգտագործեք ստորև նշված հրահանգները՝ փորձելով վերականգնել վարակված ԱՀ-ի առնվազն որոշ տեղեկություններ: Թարմացրեք ձեր հակավիրուսը և տեղադրեք օպերացիոն համակարգի կարկատումը: Այս վիրուսի ապակոդավորիչ բնության մեջ դեռ գոյություն չունի: Մենք կտրականապես խորհուրդ չենք տալիս փրկագին վճարել հարձակվողներին. չկա որևէ երաշխիք, նույնիսկ ամենաչնչին, որ նրանք կվերծանեն ձեր տվյալները փրկագին ստանալուց հետո:

Հեռացրեք WannaCry ransomware-ը ավտոմատ մաքրիչով

Չափազանց արդյունավետ մեթոդ՝ առհասարակ չարամիտ ծրագրերի և մասնավորապես փրկագինների դեմ պայքարելու համար: Ապացուցված անվտանգության համալիրի օգտագործումը երաշխավորում է վիրուսային ցանկացած բաղադրիչի, դրանց հայտնաբերման մանրակրկիտությունը ամբողջական հեռացումմեկ սեղմումով: Նշում, մենք խոսում ենքերկու տարբեր գործընթացների մասին՝ վարակի հեռացում և ձեր համակարգչի ֆայլերի վերականգնում: Այնուամենայնիվ, վտանգը, անշուշտ, պետք է վերացնել, քանի որ տեղեկություններ կան դրա օգնությամբ այլ համակարգչային տրոյականների ներդրման մասին։

1. Ներբեռնեք WannaCry վիրուսի հեռացման ծրագիրը. Ծրագիրը գործարկելուց հետո սեղմեք կոճակը Սկսեք համակարգչի սկանավորումը(Սկսել սկանավորումը): Ներբեռնեք փրկագնի հեռացման ծրագիրը WannaCry .
2. Տեղադրված ծրագիրը կտրամադրի զեկույց սկանավորման ընթացքում հայտնաբերված սպառնալիքների մասին: Բոլոր հայտնաբերված սպառնալիքները հեռացնելու համար ընտրեք տարբերակը Ուղղել սպառնալիքները(Հեռացրեք սպառնալիքները): Խնդրո առարկա չարամիտ ծրագիրը ամբողջությամբ կհեռացվի:

Վերականգնել մուտքը կոդավորված ֆայլեր

Ինչպես նշվեց, no_more_ransom ransomware-ը կողպում է ֆայլերը գաղտնագրման ուժեղ ալգորիթմով, որպեսզի գաղտնագրված տվյալները հնարավոր չլինի վերականգնել կախարդական փայտիկի ալիքով, եթե հաշվի չառնեք չլսված փրկագնի վճարումը: Բայց որոշ մեթոդներ իսկապես կարող են փրկարար դառնալ, որը կօգնի ձեզ վերականգնել կարևոր տվյալները: Ստորև կարող եք ծանոթանալ դրանց։

Ֆայլերի վերականգնման ավտոմատ ծրագիր (գաղտնազերծիչ)

Հայտնի է մի շատ անսովոր հանգամանք. Այս վարակը ջնջում է բնօրինակ ֆայլերը չգաղտնագրված տեսքով: Այդպիսով, շորթող գաղտնագրման գործընթացը թիրախավորում է դրանց պատճենները: Սա հնարավորություն է տալիս նման ծրագրային գործիքներԻնչպես Data Recovery Proվերականգնել ջնջված օբյեկտները, նույնիսկ եթե դրանց վերացման հուսալիությունը երաշխավորված է: Խստորեն խորհուրդ է տրվում դիմել ֆայլերի վերականգնման ընթացակարգին, դրա արդյունավետությունը կասկածից վեր է:

Ծավալի ստվերային պատճեններ

Մոտեցումը հիմնված է Windows կարգը Պահպանեք պատճենըֆայլեր, որոնք կրկնվում են յուրաքանչյուր վերականգնման կետում: Այս մեթոդի աշխատանքի համար կարևոր պայման է. «Համակարգի վերականգնում» գործառույթը պետք է ակտիվացվի վարակվելուց առաջ: Այնուամենայնիվ, վերականգնման կետից հետո ֆայլում կատարված ցանկացած փոփոխություն չի արտացոլվի ֆայլի վերականգնված տարբերակում:

Կրկնօրինակում

Սա լավագույնն է բոլոր չգնման մեթոդների մեջ: Եթե ​​արտաքին սերվերում տվյալների կրկնօրինակման ընթացակարգը օգտագործվել է նախքան փրկագին հարձակվելը ձեր համակարգչի վրա, ապա կոդավորված ֆայլերը վերականգնելու համար պարզապես անհրաժեշտ է մուտքագրել համապատասխան ինտերֆեյսը, ընտրել անհրաժեշտ ֆայլերը և սկսել տվյալների վերականգնման մեխանիզմը կրկնօրինակից: Գործողությունը կատարելուց առաջ անհրաժեշտ է համոզվել, որ փրկագինն ամբողջությամբ հեռացված է։

Ստուգեք հնարավոր մնացորդային WannaCry ransomware բաղադրիչները

Ձեռքով մաքրումը հղի է փրկագինի կտորներ բացակայելու վտանգով, որոնք կարող են խուսափել օպերացիոն համակարգի թաքնված օբյեկտների կամ ռեեստրի գրառումների տեսքով հեռացումից: Առանձին վնասակար տարրերի մասնակի պահպանման վտանգը վերացնելու համար սկանավորեք ձեր համակարգիչը՝ օգտագործելով հուսալի անվտանգություն ծրագրային փաթեթմասնագիտացած չարամիտ ծրագրերում:

Ապակոդավորում

Բայց գաղտնազերծման համար վճարածներից տեղեկություն չկա, ինչպես որ հաքերների մտադրության մասին չկա մարդկանց հոգին հանգստացնելու և վճարումից հետո տեղեկատվությունը վերծանելու ((((

Բայց Habré-ում տեղեկություններ կային Decrypt կոճակի սկզբունքի մասին, ինչպես նաև այն փաստի մասին, որ հարձակվողները ոչ մի կերպ չեն կարողանում բացահայտել այն օգտվողներին, ովքեր ուղարկել են հուշանվերներ, ինչը նշանակում է, որ ոչ ոք ոչինչ չի վերականգնի զոհերին.

«Գաղտնագրիչը ստեղծում է երկու տեսակի ֆայլեր. նախ՝ որոշ հատված կոդավորված է 128-բիթանոց AES-ի միջոցով, մինչդեռ գեներացված ապակոդավորման բանալին ուղղակիորեն ավելացվում է կոդավորված ֆայլին: Այս կերպ կոդավորված ֆայլերի համար կրիպտորը տալիս է ընդլայնում .wncyrև ապա այն վերծանում է դրանք, երբ սեղմում եք Decrypt-ը: Գաղտնագրվածների մեծ մասը ստանում է ընդլայնում .բղավելև բանալի չկա:
Այս դեպքում գաղտնագրումը բուն ֆայլում տեղի չի ունենում, այլ նախ սկավառակի վրա ստեղծվում է ֆայլ, որտեղ տեղադրվում է կոդավորված բովանդակությունը, իսկ հետո ջնջվում է բնօրինակ ֆայլը։ Համապատասխանաբար, որոշ ժամանակով հնարավորություն կա վերականգնել տվյալների մի մասը՝ օգտագործելով տարբեր չջնջված կոմունալ ծառայություններ:
Նման կոմունալ ծառայությունների դեմ պայքարելու համար կրիպտորը մշտապես գրում է ցանկացած մնացած աղբ սկավառակի վրա, որպեսզի սկավառակի տարածությունը բավական արագ մեռնի:
Եվ այդ պատճառով վճարման և դրա ստուգման մեխանիզմների մասին դեռևս տեղեկություններ չկան, սա իսկապես զարմանալի է։ Թերևս ազդում է բավականին պարկեշտ գումարը (300 դոլար), որը պահանջվում է նման ստուգման համար։

WannaCry վիրուսի ստեղծողները շրջանցել են ժամանակավոր պաշտպանությունը անիմաստ տիրույթի տեսքով

WannaCry ransomware վիրուսի ստեղծողները, որն ազդել է ավելի քան 70 երկրների համակարգիչների վրա, թողարկել է դրա նոր տարբերակը։ Նրան բացակայում է անիմաստ տիրույթին մուտք գործելու կոդը, որը կանխում էր բնօրինակ վիրուսի տարածումը, գրում է Motherboard-ը։ Հրապարակումը հաստատվել է նոր տարբերակվիրուս երկու փորձագետներից, ովքեր ուսումնասիրում էին նոր համակարգչային վարակները: Նրանցից մեկը Կոստին Ռայուն է՝ «Կասպերսկու լաբորատորիայի» միջազգային հետազոտական ​​խմբի ղեկավարը։

Մասնագետները չեն հստակեցրել՝ արդյոք WannaCry-ում այլ փոփոխություններ են հայտնվել։

Վերջին օրերի լուրը, որը խառնեց աշխարհում ամեն ինչ, Wanna Decrypt0r վիրուսի հարձակումն է։ Բանը սուր է ու անխնա։ Այսպիսով, եթե ձեզ բախտ վիճակվեց չհասցնել այն, և երկար ժամանակ չեք թարմացրել ՕՀ-ն, ապա շտապ դրեք վերջինը անվտանգության թարմացումներ. Միևնույն ժամանակ, ամեն դեպքում, դուք կարող եք ձեռքով արգելափակել այն նավահանգիստները, որոնց միջոցով փրկագինը ճանապարհ է բացում դեպի իր զոհերը:

Վիրուսի, դրա աշխատանքի, տարածման և շահութաբերության մասին լրացուցիչ տեղեկություններ կարելի է գտնել այստեղ.

Պաշտպանական միջոցառումներ

Օրինակ, դա կարելի է անել հետևյալ հրամաններով.

netsh advfirewall firewall ավելացնել կանոն dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall ավելացնել կանոն dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Հրամաններն արգելափակում են մուտքը դեպի TCP 135 և 445 պորտեր։ Հենց դրանց միջոցով է վիրուսը տարածվում տեղական ցանցերում։

Ի դեպ, լավ նորություններից՝ այս բանը չի գաղտնագրում Tekla Ֆայլերը: Բայց DWG-ն ու 3ds-ը շատ հավասարաչափ են: Tekla Structures-ի հետ մոդելավորելու ևս մեկ պատճառ:

UPD 1

Patch win7-ի ծովահեն տարբերակների համար, որպեսզի այն չխափանի կապույտ էկրան wannaCry patches տեղադրելուց հետո.

Ստուգվում է կարկատակի առկայությունը, որը փակում է WannaCry խոցելիությունը

• Հետևեք վերը նշված հղմանը և ստուգեք ձեր համակարգի թարմացման կոդը, օրինակ՝ Windows 7-ի կամ Windows Server 2008 R2-ի համար, կոդը կլինի 4012212 կամ 4012215:
• Բացեք cmd.exe (հրամանի տող)
• Գրել՝ wmic qfe list | findstr4012212
• Սեղմեք Enter
• Եթե ​​պատասխանում տեսնում եք նման բան, նշանակում է, որ դուք արդեն տեղադրել եք պատչը և կարող եք հանգիստ քնել՝ http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\system 3/18 /2017թ
• Եթե ​​պատասխանը ձեզ վերադարձնում է դատարկ տող, փորձեք ստուգել ցուցակի հաջորդ կարկատումը
• Եթե ​​որևէ կարկատ չի գտնվել, խորհուրդ է տրվում անմիջապես տեղադրել ծրագրաշարի թարմացումը:

Նոր WannaCry կամ WanaDecryptor 2.0 կոդավորման վիրուսը, որը օգտվողների տվյալների փոխարեն թողնում է կոդավորված .wncry ֆայլեր, ցնցում է համացանցը։ Ամբողջ աշխարհում տուժել են հարյուր հազարավոր համակարգիչներ և նոթբուքեր: Ոչ միայն տուժել է սովորական օգտվողներ, բայց այնպիսի խոշոր ընկերությունների ցանցերը, ինչպիսիք են Սբերբանկը, Ռոստելեկոմը, Beeline-ը, Մեգաֆոնը, Ռուսական երկաթուղիները և նույնիսկ Ռուսաստանի ներքին գործերի նախարարությունը։

Փրկագին վիրուսի նման զանգվածային տարածումն ապահովվել է Windows ընտանիքի օպերացիոն համակարգերում նոր խոցելիությունների կիրառմամբ, որոնք գաղտնազերծվել են ԱՄՆ հետախուզական գործակալությունների փաստաթղթերով։

WanaDecryptor, Wanna Cry, WanaCrypt կամ Wana Decryptor - ո՞րն է ճիշտ անունը:

Այն ժամանակ, երբ սկսվեց վիրուսի հարձակումը գլոբալ ցանցում, ոչ ոք հստակ չգիտեր, թե ինչ է կոչվում նոր վարակը: Սկզբում նրան կանչեցին Wana Decrypt0rաշխատասեղանին հայտնված հաղորդագրությամբ պատուհանի անունով: Որոշ ժամանակ անց հայտնվեց կոդավորման նոր փոփոխություն. Wanna Decrypt0r 2.0. Բայց կրկին, սա փրկագին պատուհան է, որն իրականում օգտատիրոջը վաճառում է գաղտնազերծող բանալի, որը տեսականորեն պետք է հասնի զոհին այն բանից հետո, երբ նա կփոխանցի պահանջվող գումարը խաբեբաներին: Ինքնին վիրուսը, ինչպես պարզվեց, կոչվում է Ուզում եմ լաց լինել(Բաղնիքի եզր):
Ինտերնետում դուք դեռ կարող եք գտնել դրա տարբեր անունները: Եվ հաճախ օգտատերերը «o» տառի փոխարեն դնում են «0» թիվը և հակառակը։ Բացի այդ, տիեզերական տարբեր մանիպուլյացիաները, ինչպիսիք են WanaDecryptor-ը և Wana Decryptor-ը, կամ WannaCry-ը և Wanna Cry-ը, մեծ շփոթություն են առաջացնում:

Ինչպես է աշխատում WanaDecryptor-ը

Այս փրկագնի աշխատանքի ձևը սկզբունքորեն տարբերվում է նախկին փրկագինից, որը մենք հանդիպել ենք: Նախկինում, որպեսզի վարակը սկսեր աշխատել համակարգչում, նախ պետք էր այն գործարկել: Այսինքն՝ ականջալուր օգտատերը փոստով նամակ է ստացել խրթին կցվածքով՝ սցենար, որը քողարկվում է որպես ինչ-որ փաստաթուղթ: Անձը գործարկեց գործարկվող ֆայլը և դրանով իսկ ակտիվացրեց ՕՀ-ի վարակումը: Vanna Edge վիրուսը տարբեր կերպ է աշխատում: Նա կարիք չունի օգտատիրոջը խաբելու փորձի, բավական է, որ նա հասանելի լինի ծառայության կարևոր խոցելիությանը հանրային մուտքդեպի SMBv1 ֆայլեր՝ օգտագործելով 445 պորտը: Ի դեպ, այս խոցելիությունը հասանելի է դարձել Wikileaks կայքում հրապարակված ամերիկյան հետախուզական գործակալությունների արխիվների տեղեկատվության շնորհիվ։
Տուժողի համակարգչում հայտնվելուց հետո WannaCrypt-ը սկսում է զանգվածաբար գաղտնագրել ֆայլերը իր շատ ուժեղ ալգորիթմով: Հիմնականում տուժում են հետևյալ ձևաչափերը.

բանալին, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, հում, gif, png, bmp, jpg, jpeg, vcd, iso, կրկնօրինակում, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Կոդավորված ֆայլի ընդլայնումը փոխվել է .բղավել. Փրկագին վիրուսը կարող է ևս երկու ֆայլ ավելացնել յուրաքանչյուր թղթապանակում: Առաջինը հրահանգ է, որը նկարագրում է, թե ինչպես գաղտնազերծել wncry ֆայլը Please_Read_Me.txt, իսկ երկրորդը decryptor հավելվածն է WanaDecryptor.exe:
Այս կեղտոտ հնարքն աշխատում է հանգիստ և խաղաղ, մինչև այն հարվածի ամբողջին HDD, որից հետո կցուցադրի WanaDecrypt0r 2.0 պատուհանը՝ գումար տալու պահանջով։ Եթե ​​օգտատերը թույլ չի տվել նրան լրացնել այն, և հակավիրուսը կարողացել է հեռացնել կրիպտորային ծրագիրը, աշխատասեղանին կհայտնվի հետևյալ հաղորդագրությունը.

Այսինքն՝ օգտատերը զգուշացվում է, որ իր որոշ ֆայլեր արդեն տուժել են, և եթե ցանկանում եք դրանք հետ ստանալ, ետ վերադարձրեք կրիպտորը։ Այո, հիմա! Ոչ մի դեպքում դա մի արեք, այլապես կկորցնեք մնացածը: Ուշադրություն. Ոչ ոք չգիտի, թե ինչպես վերծանել WNCRY ֆայլերը: Ցտեսություն։ Միգուցե ավելի ուշ կհայտնվի գաղտնազերծման գործիք՝ սպասեք և տեսեք:

Wanna Cry վիրուսի պաշտպանություն

Ընդհանուր առմամբ, Microsoft MS17-010 պատչը Wanna Decryptor փրկագինից պաշտպանվելու համար թողարկվել է մայիսի 12-ին, և եթե ծառայությունը windows թարմացումներայն ժամանակ լավ է աշխատում
ավելի հավանական է օպերացիոն համակարգարդեն պաշտպանված. Հակառակ դեպքում, դուք պետք է ներբեռնեք այս Microsoft-ի կարկատումը ձեր համար Windows-ի տարբերակներըև անմիջապես տեղադրեք:
Այնուհետեւ ցանկալի է ընդհանրապես անջատել SMBv1 աջակցությունը։ Համենայն դեպս, մինչև համաճարակի ալիքը հանդարտվի և իրավիճակը կարգավորվի։ Դուք կարող եք դա անել կամ ադմինիստրատորի իրավունքներով հրամանի տողից՝ մուտքագրելով հրամանը.

dism /առցանց /norestart /disable-feature /featurename:SMB1Protocol

Կամ վահանակի միջոցով Windows վերահսկում. Այնտեղ դուք պետք է գնաք «Ծրագրեր և առանձնահատկություններ» բաժին, ընտրեք «Միացնել կամ անջատել Windows-ի բաղադրիչներ«. Պատուհան կհայտնվի.

Մենք գտնում ենք «Աջակցություն ֆայլերի փոխանակման SMB 1.0 / CIFS» կետը, հանում ենք այն և կտտացնում «OK»:

Եթե ​​հանկարծ SMBv1 աջակցությունն անջատելու հետ կապված խնդիրներ առաջանան, ապա կարող եք անցնել այլ ճանապարհով պաշտպանվելու Wanacrypt0r 2.0-ից: Ստեղծեք կանոն համակարգում օգտագործվող firewall-ում, որն արգելափակում է 135 և 445 նավահանգիստները: Ստանդարտի համար Windows firewallպետք է մուտքագրվի հրամանի տողհետևյալը.

netsh advfirewall firewall ավելացնել կանոն dir=in action=block protocol=TCP localport=135 name="Close_TCP-135"
netsh advfirewall firewall ավելացնել կանոն dir=in action=block protocol=TCP localport=445 name="Close_TCP-445"

Մեկ այլ տարբերակ է օգտագործել հատուկ անվճար հավելված Windows Worms Doors Cleaner.

Այն չի պահանջում տեղադրում և թույլ է տալիս հեշտությամբ արգելափակել համակարգի բացերը, որոնց միջոցով փրկագին վիրուսը կարող է սողալ դրա մեջ:

Եվ իհարկե, չպետք է մոռանալ հակավիրուսային պաշտպանության մասին։ Օգտագործեք միայն ապացուցված հակավիրուսային արտադրանքներ՝ DrWeb, Kaspersky Internet Security, E-SET Nod32: Եթե ​​դուք արդեն ունեք տեղադրված հակավիրուս, համոզվեք, որ թարմացնեք դրա տվյալների բազաները.

Վերջում ես ձեզ մի փոքր խորհուրդ կտամ. Եթե ​​դուք ունեք շատ կարևոր տվյալներ, որոնք շատ անցանկալի է կորցնել, պահեք դրանք շարժական կոշտ սկավառակի վրա և դրեք պահարանում: Համենայն դեպս համաճարակի ժամանակ։ Սա միակ միջոցն է ինչ-որ կերպ երաշխավորելու նրանց անվտանգությունը, քանի որ ոչ ոք չգիտի, թե որն է լինելու հաջորդ փոփոխությունը։