Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r 1 181]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft 1 505]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[Mr_Fenix 0]

Приветствую экспертов, знатоков и простых пользователей. Рассказываю свою историю, после чего - задаю интересующий меня вопрос, надеюсь на ответ. ))) 

 

Итак. Собственно говоря, на настоящий момент - мне повезло/вирус этот я не подхватил. Сам являюсь пользователем/владельцем лицензионной Windows 10 Pro (64Bit), сборка 1603. Автоматические обновления у меня были отключены (посредством отключения Центра Обновлений Windows через Групповые Политики) примерно в феврале месяце. Отключил я их в связи с тем, что периодически, при установке новых обновлений Windows - получаешь в придачу целый ворох проблем. То драйвер какой-нибудь слетит, то программа работать откажется ... Задолбало, в итоге - отрубил центр обновлений, проблем не испытывал. 

 

Но вчера - наткнулся на новости о данном вирусе. Разумеется, нервишки начали петь, решил поставить патч. В ручную - патч устанавливаться отказался. Я включил Центр Обновлений, запустил поиск обновлений, Windows загрузила необходимые файлы и установила обновления. Вместе с кумулятивным пакетом обновлений Creators Update. В итоге, как и всегда (такой вот я невезучий) - часть программ перестала корректно работать, часть слетела ... Короче говоря - приятного мало. 

 

В следствии этого, а так же ввиду того что я давно уже собирался это сделать - я решил переустановить Windows 10 чистой установкой. Как водится, по схеме: берём флешку, заходим на официальный сайт MC, посредством их "помощника" создаём загрузочный носитель, а затем - ставим всё это дело на системный диск (в моём случае) - SSD. 

 

Вопросы следующие: 

 

1. В процессе создания установочного носителя с официального сайта MC - "подтянется" же мне на флешку последняя сборка Windows, так? 17**? Т.е. в ней уже изначально будет присутствовать этот патч/решение проблемы/защита от данного вируса? 

 

2. Может ли, технически, в процессе установки Windows - этот вирус пролезть на ПК? подозреваю что нет, но лучше переспросить, мало ли ... ? Итак? )))

[Mark D. Pearlstone 1 704]

@Mr_Fenix

1. Должна скачаться последняя 1703 версия. В ней о данной не закрытой уязвимости не сообщается.

2. Зараза может пролезть после установки системы, если в ней нет нужного обновления безопасности. в вашем случае дыра должна быть закрыта.

[v.kotel 0]

Будьте добры у кого остался файл Wana Decryptor .exe вышлете мне на почту в архиве: valentina.kotel@yandex.ru

Все поспешно удаляют вирус а между тем рабочее решение как раз может быть с использованием этого файла.

[Mr_Fenix 0]

@Mr_Fenix

1. Должна скачаться последняя 1703 версия. В ней о данной не закрытой уязвимости не сообщается.

2. Зараза может пролезть после установки системы, если в ней нет нужного обновления безопасности. в вашем случае дыра должна быть закрыта.

 

Спасибо за ответ. Что ж, буду надеяться, что в версии 1703 - эта дырка закрыта и всё будет хорошо. Пошел создавать загрузочную флешку ... 

[Alek(@ndr 3]

Тут бы шапку (1ое сообщение) дополнить что ли, на каждой странице одно и то же непонимание и гипотизы.

1. В случае с WannaCry для заражения не нужно запускать какие либо файлы, посещать какие либо сайты и т.п.

   Распространение шло/идёт по сети, используя уязвимость протокола SMBv1.

   Чистая установленная ОС Win с любого официального образа (за исключением свежеиспеченного w10 1703) + доступ в глобальную сеть, и вы заражены, если повезло, что бот-сеть троянца просканировала ваш IP.

   Ещё раз, даже если вы не открывали браузер, и не запускали ни одну из программ.

2. С расшифровкой, троянец использует 2048-битное RSA шифрование. Если бы такое вскрывалось брутом за разумное время - давно бы легли все онлайн-платежи, транзакции, пароли, вся электронная безопасность. Потому остаётся надеяться, что создатели троянца серьёзно налажали, и где то в системе остаётся ключ шифрования или его соль, или будет получен алгоритм генеррации ключей шифрования троянцем и процесс брута в следствии этого упростится до разумного времени перебора. Либо до серверов владельцев троянца доберутся, где собираются все ключи шифрования. Это всё при том, если подобная информация вообще имеется и предусмотрен механизм расшифровки со стороны авторов, ибо что пароли создавались генератором случайных чисел и не сохранялись вообще - вполне вероятная ситуация.

3. Перебирать любые дешифровки от других подобных крипторов из прошлого - бессмысленно.

4. Упавать на вину антивируса лицензионного - как минимум бессмысленно. Во многих случаях не может он работать на опережение. Вирусы - это такие же компьютерные программы. Пока их в лаборатории не изучат, не внесут в список зловредных и не разошлют обновления сигнатур угроз - ничего не попишешь. Можно конечно посетовать на неэффективность общих технологий защиты, эвристики, поведенческого анализатора, песочниц. Но всегда лазейку найти грамотные люди смогут. А в момент написания нового троянца -  злоумышленники имеют доступ к последним достижениям антивирусных вендоров, а не на оборот. Так что в критически важных местах - настраивайте политики безопасности и не пускайте их напрямую в глобальную сеть.

5. Кичится тем, что у кого то там Linux и всё серьёзное должно работать на нём - тоже глупо. Хоть из коробки эта система более безопасна, и то с препиской ИМХО, её меньше трогают при массовых заражениях только из-за меньшей рентабельности для злоумышленников. Распространена она в разы меньше - и адаптировать зловреды под неё - себе дороже.

6. Винить всех за отключение службы обновления windows - тоже большой вопрос, стоит ли. В Win7/8 их поотключали из-за рассылки телеметрий, полупринудительных обновлялок до win10 и подобных факторов.

   В Win10 - сколько раз очередные апдейты являлись причиной массовых бед с совместимостью с оборудованием, ПО, драйверами... А людям стабильность нужна.

[maximum 0]

@v.kotel, в прошлых шифраторах некоторые из них создавали свой уникальный ключ в последствии его удалял таким образом что не откапаешь, он у всех разный был, наличие самого шифратора не давало ничего, нужны были определенные файлы, обычно если человек вовремя гасил комп то при то что он опытный пользователь, он мог достать все что нужно для личного расшифровывания, но это редкость и везение

Изменено 14 мая, 2017 пользователем maximum

[v.kotel 0]

@v.kotel, в прошлых шифраторах некоторые из них создавали свой уникальный ключ в последствии его удалял таким образом что не откапаешь, он у всех разный был, наличие самого шифратора не давало ничего, нужны были определенные файлы, обычно если человек вовремя гасил комп то при то что он опытный пользователь, он мог достать все что нужно для личного расшифровывания, но это редкость и везение

 

Да, я в курсе спасибо. Как раз хотелось бы понять какие файлы использует wana decryptor для тестовой дешифровки. Конечно может быть такое, сто эта тестовая расшифровка 10 файлов - вообще фэйк и как таковой расшифровки не производится, а просто достаются откуда то заранее заготовленные оригинальные файлы. 

Я понимаю, что сейчас над этой проблемой работают лучшие аналитики, но тем не менее хочется воочию посмотреть как все работает.

[Sandynist 1 115]

 

 

Упавать на вину антивируса лицензионного - как минимум бессмысленно.

 

У вас как-то не очень связно построено предложение, перечитайте его ещё пару раз. Возможно имеет смысл всё-же переиначить как-то?

[Mr_Fenix 0]

(за исключением свежеиспеченного w10 1703) 

 

 

В Win10 - сколько раз очередные апдейты являлись причиной массовых бед с совместимостью с оборудованием, ПО, драйверами... А людям стабильность нужна.

 

1. Стало быть, w10 1703 - точно вне зоны риска? ) 

 

2. Именно по этой причине (как уже выше и сказал) - и были отключены обновления у меня. К сожалению, часто случается, что после установки очередных "дополнений" от MC - что-то да слетает/"ломается". У знакомого, после установки очередного обновления (на SDD, при подключенном к материнке HDD) - на HDD слетела разметка диска, бррр. 

 

Но всё-таки, наверное, лучше помучиться с этими мелкими проблемами (и оставить автоматические обновления включенными), чем поймать такую гадость и лишиться всех файлов. 

 

P.S. Кстати, возник такой дополнительный вопрос (любопытно стало): а если кто-то поймал данный вирус - переустановка Windows с форматированием SSD/HDD - поможет (пусть и с потерей файлов, разумеется)? Или он капитально прописывается на диске, и спасет только замена оного? 

[Mark D. Pearlstone 1 704]

P.S. Кстати, возник такой дополнительный вопрос (любопытно стало): а если кто-то поймал данный вирус - переустановка Windows с форматированием SSD/HDD - поможет (пусть и с потерей файлов, разумеется)? Или он капитально прописывается на диске, и спасет только замена оного?

Форматирование очистит диск.

В нашем разделе "Уничтожения вирусов" можно почистить систему от вируса без форматирования винчестера.

[Alek(@ndr 3]

Sandynist

Не ативирус вас заразил, он - на защитил, и такое положение мне тоже не нравится, но оно технически обосновано и в лицензионном соглашении прописано.

[Soft 1 505]

@Mr_Fenix, вы также уничтожите и шифровальщик. 

[Alek(@ndr 3]

Mr_Fenix

Всё очень относительно, давать определённый совет по этой ситуации не возьмусь. Для себя на данном этапе - сервис обновления включать точно не буду. Мелочь - это одно, а когда после обновления сервер вообще не запускается без разбора полётов или начинает крайне нестабильно работать с SSD, да всякое бывало... это уже другое.

А в крайнюю сборку win10 апдейт, затыкающий эту уязвимость, - действительно входит.

Но как заметили мудрые люди, если в какой то службе нашли 100500 уязвимости, нелепо пологать, что завтра не найдут и не воспользуются 100501, потому если проблемные компоненты системы не нужны, лучше их отключить/удалить, а если нужны - ограничить к ним доступ.

Изменено 14 мая, 2017 пользователем Alek(@ndr

[moscow9990 2]

кто нибудь мне может объяснить, как wanna decryptor отслеживает, был ли произведен платеж или нет?

[Alek(@ndr 3]

moscow9990

Предположительно - по не ровным требуемым суммам для перевода, можно открыть любой из нескольких их кошельков, и увидеть, что все суммы с разбросом в небольшом диапазоне.

Банки так часто поступают при привязки карт к сервисам, блокирую случайную сумму.

Но больше сейчас развито мнение, что никаких кодов на расшифровку они не высылают вовсе.