Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

12 мая, 2017

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

12 мая, 2017

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

15 мая, 2017

Я нашел на сайте MS такое:

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

Windows PowerShell 2.0 or a later version of PowerShell

To disable SMBv1 on the SMB server, run the following cmdlet:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Т.е это нужно прописать в командной строке? А как потом эту службу включить? Или она не нужна в принципе?

Если вы установили патч, то этого делать не надо.
И вообще этого лучше не пытаться делать, если вы в этом не разбираетесь.

Патч не ставил ввиду слегка не лицензионной семерки. Порты 135 и 445 закрыл по советам на форуме. Хотелось бы и службу дырявую вырубить, но в реестр лезьть не решаюсь.

UPD. На форуме есть команда "dism /online /norestart /disable-feature /featurename:SMB1Protocol" насколько она решает проблему?

Изменено 15 мая, 2017 пользователем M Sk

15 мая, 2017

Данный ключ можно было выдрать из памяти в момент генерации

т.е если сейчас, словить вирус, но при этом каким-то образом выдрать ключ, то можно будет расшифровать все файлы?

видимо да, либо если подменить ключ на свой. но какой в этом смысл)

15 мая, 2017

Интересно узнать, запароленные архивы вирусу удалось зашифровать?
А какая на ваш взгляд разница для вируса архив с паролем или без? Увы, это очередной миф от некоторых недальновидных товарищей, которые предлагают так свои файлы от шифровальщиков защищать.

вообщето нет, у вируса есть четкая команда ФАС на определенные расширения файлов, и если сменить расширение архива например на абышто, то это его спасет

Шифрует файлы следующих расширений:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

15 мая, 2017

В нашем случае это бесполезно

А почему в нашем случае это бесполезно?

15 мая, 2017

Вот мне интересно, это первый вирус своего рода, до него таких вирусов которые сами проникали-бы на комп в таких масштабах ещё небыло. И глядя на это вирус любой программист может наделать 20 и 30 похожих вирусов, от которых не будет спасения.

15 мая, 2017

В сети вот эта гифка гуляет. Типа оплатил, а потом расшифровка остановилась на 99% и кнопки не реагируют. Фейк?

Откуда эта гифка?

15 мая, 2017

Патч не ставил ввиду слегка не лицензионной семерки.

ССЗБ.

Этот патч никак не связан с проверкой валидности винды, так что поставьте.

15 мая, 2017

хочу отметить что этот вирус зашифровал и файлы виртуальных диском - при том что они не маленького размера от 300 ГБ(так что эта скотина не подавилась размером файла )

расширение *.vhd

15 мая, 2017

В нашем случае это бесполезно

А почему в нашем случае это бесполезно?

ну потомучто в нашем случае уже криптор отработал и все файлы зашифровал.

ключ наш зашифрован, и чтобы его расшифровать нужен мастер-ключ владельца криптора, которым он с нами врядли поделится в ближайшее время))

15 мая, 2017

И еще эта папка с вирусом у всех так называлась или это и есть уникальный шифр C:\ProgramData\qpqcylrifx472

имя папки рандомное, но у всех подобного вида.

был на форуме АВЗ

Мне нтересно, а что вы называете форумом AVZ ?

15 мая, 2017

Патч не ставил ввиду слегка не лицензионной семерки.
ССЗБ.
Этот патч никак не связан с проверкой валидности винды, так что поставьте.

да, только на некоторых пиратках этот патч вызывает BSOD

15 мая, 2017

Интересно узнать, запароленные архивы вирусу удалось зашифровать?
А какая на ваш взгляд разница для вируса архив с паролем или без? Увы, это очередной миф от некоторых недальновидных товарищей, которые предлагают так свои файлы от шифровальщиков защищать.

вообщето нет, у вируса есть четкая команда ФАС на определенные расширения файлов, и если сменить расширение архива например на абышто, то это его спасет
Шифрует файлы следующих расширений:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

в списке же есть формат rar

15 мая, 2017

да, только на некоторых пиратках этот патч вызывает BSOD

подозреваю, что вы путаете с другим патчем, который обновлял драйвер ядра (там и на некоторых лицензионных была проблема). С этим патчем насколько знаю никаких проблем нет.

Но в любом случае обсуждение пираток здесь запрещено.

15 мая, 2017

Возможно я ошибаюсь, но мне кажется он начал шифровку за пару дней до атаки, я заметил ещё 9 числа, что процесор нагружается сам по себе, 2 раза комп намертво зависал ни с того ни с сего, я тогда не придал этому внимания, а теперь думаю это всё из-за шифровки было.

15 мая, 2017

Патч не ставил ввиду слегка не лицензионной семерки.
ССЗБ.
Этот патч никак не связан с проверкой валидности винды, так что поставьте.

Стоит SP1, но почитав форум, а именно отзывы тех кто уже пробовал ставить патч 17-010, опасаюсь, что может не встать сам по себе и ему нужны некоторые предыдущие патчи Изменено 15 мая, 2017 пользователем M Sk

Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

Рекомендуемые сообщения

Ig0r

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Ig0r

Soft

kuser

Изображения в теме

Soft

M Sk

idslash

dron4938

moscow9990

kapral33

moscow9990

regist

mammonts

idslash

regist

idslash

serqik

regist

Aleksey Nek

M Sk

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Ig0r

Soft

kuser

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum