Перейти к содержанию

Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке


pipok

Рекомендуемые сообщения

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":


 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

  • Спасибо (+1) 27
  • Улыбнуло 5
  • Согласен 28
Ссылка на комментарий
Поделиться на другие сайты

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone
Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.
  • Спасибо (+1) 3
  • Улыбнуло 1
  • Согласен 20
  • Сомневаюсь 1
Ссылка на комментарий
Поделиться на другие сайты

Приветствую экспертов, знатоков и простых пользователей. Рассказываю свою историю, после чего - задаю интересующий меня вопрос, надеюсь на ответ. ))) 

 

Итак. Собственно говоря, на настоящий момент - мне повезло/вирус этот я не подхватил. Сам являюсь пользователем/владельцем лицензионной Windows 10 Pro (64Bit), сборка 1603. Автоматические обновления у меня были отключены (посредством отключения Центра Обновлений Windows через Групповые Политики) примерно в феврале месяце. Отключил я их в связи с тем, что периодически, при установке новых обновлений Windows - получаешь в придачу целый ворох проблем. То драйвер какой-нибудь слетит, то программа работать откажется ... Задолбало, в итоге - отрубил центр обновлений, проблем не испытывал. 

 

Но вчера - наткнулся на новости о данном вирусе. Разумеется, нервишки начали петь, решил поставить патч. В ручную - патч устанавливаться отказался. Я включил Центр Обновлений, запустил поиск обновлений, Windows загрузила необходимые файлы и установила обновления. Вместе с кумулятивным пакетом обновлений Creators Update. В итоге, как и всегда (такой вот я невезучий) - часть программ перестала корректно работать, часть слетела ... Короче говоря - приятного мало. 

 

В следствии этого, а так же ввиду того что я давно уже собирался это сделать - я решил переустановить Windows 10 чистой установкой. Как водится, по схеме: берём флешку, заходим на официальный сайт MC, посредством их "помощника" создаём загрузочный носитель, а затем - ставим всё это дело на системный диск (в моём случае) - SSD. 

 

Вопросы следующие: 

 

1. В процессе создания установочного носителя с официального сайта MC - "подтянется" же мне на флешку последняя сборка Windows, так? 17**? Т.е. в ней уже изначально будет присутствовать этот патч/решение проблемы/защита от данного вируса? 

 

2. Может ли, технически, в процессе установки Windows - этот вирус пролезть на ПК? подозреваю что нет, но лучше переспросить, мало ли ... ? Итак? )))

Ссылка на комментарий
Поделиться на другие сайты

@Mr_Fenix

1. Должна скачаться последняя 1703 версия. В ней о данной не закрытой уязвимости не сообщается.

2. Зараза может пролезть после установки системы, если в ней нет нужного обновления безопасности. в вашем случае дыра должна быть закрыта.

  • Спасибо (+1) 1
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Будьте добры у кого остался файл Wana Decryptor .exe вышлете мне на почту в архиве: valentina.kotel@yandex.ru

Все поспешно удаляют вирус а между тем рабочее решение как раз может быть с использованием этого файла.

Ссылка на комментарий
Поделиться на другие сайты

@Mr_Fenix

1. Должна скачаться последняя 1703 версия. В ней о данной не закрытой уязвимости не сообщается.

2. Зараза может пролезть после установки системы, если в ней нет нужного обновления безопасности. в вашем случае дыра должна быть закрыта.

 

Спасибо за ответ. Что ж, буду надеяться, что в версии 1703 - эта дырка закрыта и всё будет хорошо. Пошел создавать загрузочную флешку ... 

Ссылка на комментарий
Поделиться на другие сайты

Тут бы шапку (1ое сообщение) дополнить что ли, на каждой странице одно и то же непонимание и гипотизы.

1. В случае с WannaCry для заражения не нужно запускать какие либо файлы, посещать какие либо сайты и т.п.

   Распространение шло/идёт по сети, используя уязвимость протокола SMBv1.

   Чистая установленная ОС Win с любого официального образа (за исключением свежеиспеченного w10 1703) + доступ в глобальную сеть, и вы заражены, если повезло, что бот-сеть троянца просканировала ваш IP.

   Ещё раз, даже если вы не открывали браузер, и не запускали ни одну из программ.

2. С расшифровкой, троянец использует 2048-битное RSA шифрование. Если бы такое вскрывалось брутом за разумное время - давно бы легли все онлайн-платежи, транзакции, пароли, вся электронная безопасность. Потому остаётся надеяться, что создатели троянца серьёзно налажали, и где то в системе остаётся ключ шифрования или его соль, или будет получен алгоритм генеррации ключей шифрования троянцем и процесс брута в следствии этого упростится до разумного времени перебора. Либо до серверов владельцев троянца доберутся, где собираются все ключи шифрования. Это всё при том, если подобная информация вообще имеется и предусмотрен механизм расшифровки со стороны авторов, ибо что пароли создавались генератором случайных чисел и не сохранялись вообще - вполне вероятная ситуация.

3. Перебирать любые дешифровки от других подобных крипторов из прошлого - бессмысленно.

4. Упавать на вину антивируса лицензионного - как минимум бессмысленно. Во многих случаях не может он работать на опережение. Вирусы - это такие же компьютерные программы. Пока их в лаборатории не изучат, не внесут в список зловредных и не разошлют обновления сигнатур угроз - ничего не попишешь. Можно конечно посетовать на неэффективность общих технологий защиты, эвристики, поведенческого анализатора, песочниц. Но всегда лазейку найти грамотные люди смогут. А в момент написания нового троянца -  злоумышленники имеют доступ к последним достижениям антивирусных вендоров, а не на оборот. Так что в критически важных местах - настраивайте политики безопасности и не пускайте их напрямую в глобальную сеть.

5. Кичится тем, что у кого то там Linux и всё серьёзное должно работать на нём - тоже глупо. Хоть из коробки эта система более безопасна, и то с препиской ИМХО, её меньше трогают при массовых заражениях только из-за меньшей рентабельности для злоумышленников. Распространена она в разы меньше - и адаптировать зловреды под неё - себе дороже.

6. Винить всех за отключение службы обновления windows - тоже большой вопрос, стоит ли. В Win7/8 их поотключали из-за рассылки телеметрий, полупринудительных обновлялок до win10 и подобных факторов.

   В Win10 - сколько раз очередные апдейты являлись причиной массовых бед с совместимостью с оборудованием, ПО, драйверами... А людям стабильность нужна.

  • Спасибо (+1) 2
  • Согласен 5
Ссылка на комментарий
Поделиться на другие сайты

@v.kotel, в прошлых шифраторах некоторые из них создавали свой уникальный ключ в последствии его удалял таким образом что не откапаешь, он у всех разный был, наличие самого шифратора не давало ничего, нужны были определенные файлы, обычно если человек вовремя гасил комп то при то что он опытный пользователь, он мог достать все что нужно для личного расшифровывания, но это редкость и везение

Изменено пользователем maximum
Ссылка на комментарий
Поделиться на другие сайты

@v.kotel, в прошлых шифраторах некоторые из них создавали свой уникальный ключ в последствии его удалял таким образом что не откапаешь, он у всех разный был, наличие самого шифратора не давало ничего, нужны были определенные файлы, обычно если человек вовремя гасил комп то при то что он опытный пользователь, он мог достать все что нужно для личного расшифровывания, но это редкость и везение

 

Да, я в курсе спасибо. Как раз хотелось бы понять какие файлы использует wana decryptor для тестовой дешифровки. Конечно может быть такое, сто эта тестовая расшифровка 10 файлов - вообще фэйк и как таковой расшифровки не производится, а просто достаются откуда то заранее заготовленные оригинальные файлы. 

Я понимаю, что сейчас над этой проблемой работают лучшие аналитики, но тем не менее хочется воочию посмотреть как все работает.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Упавать на вину антивируса лицензионного - как минимум бессмысленно.

 

У вас как-то не очень связно построено предложение, перечитайте его ещё пару раз. Возможно имеет смысл всё-же переиначить как-то?

Ссылка на комментарий
Поделиться на другие сайты

(за исключением свежеиспеченного w10 1703) 

 

 

В Win10 - сколько раз очередные апдейты являлись причиной массовых бед с совместимостью с оборудованием, ПО, драйверами... А людям стабильность нужна.

 

1. Стало быть, w10 1703 - точно вне зоны риска? ) 

 

2. Именно по этой причине (как уже выше и сказал) - и были отключены обновления у меня. К сожалению, часто случается, что после установки очередных "дополнений" от MC - что-то да слетает/"ломается". У знакомого, после установки очередного обновления (на SDD, при подключенном к материнке HDD) - на HDD слетела разметка диска, бррр. 

 

Но всё-таки, наверное, лучше помучиться с этими мелкими проблемами (и оставить автоматические обновления включенными), чем поймать такую гадость и лишиться всех файлов. 

 

P.S. Кстати, возник такой дополнительный вопрос (любопытно стало): а если кто-то поймал данный вирус - переустановка Windows с форматированием SSD/HDD - поможет (пусть и с потерей файлов, разумеется)? Или он капитально прописывается на диске, и спасет только замена оного? 

Ссылка на комментарий
Поделиться на другие сайты

P.S. Кстати, возник такой дополнительный вопрос (любопытно стало): а если кто-то поймал данный вирус - переустановка Windows с форматированием SSD/HDD - поможет (пусть и с потерей файлов, разумеется)? Или он капитально прописывается на диске, и спасет только замена оного?

Форматирование очистит диск.

В нашем разделе "Уничтожения вирусов" можно почистить систему от вируса без форматирования винчестера.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Sandynist

Не ативирус вас заразил, он - на защитил, и такое положение мне тоже не нравится, но оно технически обосновано и в лицензионном соглашении прописано.

Ссылка на комментарий
Поделиться на другие сайты

Mr_Fenix

Всё очень относительно, давать определённый совет по этой ситуации не возьмусь. Для себя на данном этапе - сервис обновления включать точно не буду. Мелочь - это одно, а когда после обновления сервер вообще не запускается без разбора полётов или начинает крайне нестабильно работать с SSD, да всякое бывало... это уже другое.

А в крайнюю сборку win10 апдейт, затыкающий эту уязвимость, - действительно входит.

Но как заметили мудрые люди, если в какой то службе нашли 100500 уязвимости, нелепо пологать, что завтра не найдут и не воспользуются 100501, потому если проблемные компоненты системы не нужны, лучше их отключить/удалить, а если нужны - ограничить к ним доступ.

Изменено пользователем Alek(@ndr
  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты

moscow9990

Предположительно - по не ровным требуемым суммам для перевода, можно открыть любой из нескольких их кошельков, и увидеть, что все суммы с разбросом в небольшом диапазоне.

Банки так часто поступают при привязки карт к сервисам, блокирую случайную сумму.

Но больше сейчас развито мнение, что никаких кодов на расшифровку они не высылают вовсе.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...