Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[M Sk]

 

 

Я нашел на сайте MS такое:

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

 

To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

Windows PowerShell 2.0 or a later version of PowerShell

 

To disable SMBv1 on the SMB server, run the following cmdlet:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Т.е это нужно прописать в командной строке? А как потом эту службу включить? Или она не нужна в принципе?

Если вы установили патч, то этого делать не надо.

И вообще этого лучше не пытаться делать, если вы в этом не разбираетесь.

Патч не ставил ввиду слегка не лицензионной семерки. Порты 135 и 445 закрыл по советам на форуме. Хотелось бы и службу дырявую вырубить, но в реестр лезьть не решаюсь.

UPD. На форуме есть команда "dism /online /norestart /disable-feature /featurename:SMB1Protocol" насколько она решает проблему?

Изменено 15 мая, 2017 пользователем M Sk

[idslash]

 

Данный ключ можно было выдрать из памяти в момент генерации

т.е если сейчас, словить вирус, но при этом каким-то образом выдрать ключ, то можно будет расшифровать все файлы?

 

видимо да, либо если подменить ключ на свой. но какой в этом смысл)

[dron4938]

 

Интересно узнать, запароленные архивы вирусу удалось зашифровать?

А какая на ваш взгляд разница для вируса архив с паролем или без? Увы, это очередной миф от некоторых недальновидных товарищей, которые предлагают так свои файлы от шифровальщиков защищать.

 

вообщето нет, у вируса есть четкая команда ФАС на определенные расширения файлов, и если сменить расширение архива например на абышто, то это его спасет

Шифрует файлы следующих расширений:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

[moscow9990]

 

 

В нашем случае это бесполезно

 

А почему в нашем случае это бесполезно?

[kapral33]

Вот мне интересно, это первый вирус своего рода, до него таких вирусов которые сами проникали-бы на комп в таких масштабах ещё небыло. И глядя на это вирус любой программист может наделать 20 и 30 похожих вирусов, от которых не будет спасения.

[moscow9990]

В сети вот эта гифка гуляет. Типа оплатил, а потом расшифровка остановилась на 99% и кнопки не реагируют. Фейк?

Откуда эта гифка?

[regist]

 

 

Патч не ставил ввиду слегка не лицензионной семерки.

ССЗБ.

Этот патч никак не связан с проверкой валидности винды, так что поставьте.

[mammonts]

хочу отметить что этот вирус зашифровал и файлы виртуальных диском - при том что они не маленького размера от 300 ГБ(так что эта скотина не подавилась размером файла )

расширение *.vhd

[idslash]

 

В нашем случае это бесполезно

 

А почему в нашем случае это бесполезно?

 

ну потомучто в нашем случае уже криптор отработал и все файлы зашифровал.

ключ наш зашифрован, и чтобы его расшифровать нужен мастер-ключ владельца криптора, которым он с нами врядли поделится в ближайшее время))

[regist]

 

 

И еще эта папка с вирусом у всех так называлась или это и есть уникальный шифр C:\ProgramData\qpqcylrifx472

имя папки рандомное, но у всех подобного вида.

 

 

был на форуме АВЗ

Мне нтересно, а что вы называете форумом AVZ ?

[idslash]

 

Патч не ставил ввиду слегка не лицензионной семерки.

ССЗБ.

Этот патч никак не связан с проверкой валидности винды, так что поставьте.

 

да, только на некоторых пиратках этот патч вызывает BSOD

[serqik]

 

 

Интересно узнать, запароленные архивы вирусу удалось зашифровать?

А какая на ваш взгляд разница для вируса архив с паролем или без? Увы, это очередной миф от некоторых недальновидных товарищей, которые предлагают так свои файлы от шифровальщиков защищать.

 

вообщето нет, у вируса есть четкая команда ФАС на определенные расширения файлов, и если сменить расширение архива например на абышто, то это его спасет

Шифрует файлы следующих расширений:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

 

в списке же есть формат rar

[regist]

 

 

да, только на некоторых пиратках этот патч вызывает BSOD

подозреваю, что вы путаете с другим патчем, который обновлял драйвер ядра (там и на некоторых лицензионных была проблема). С этим патчем насколько знаю никаких проблем нет.

Но в любом случае обсуждение пираток здесь запрещено.

[Aleksey Nek]

Возможно я ошибаюсь, но мне кажется он начал шифровку за пару дней до атаки, я заметил ещё 9 числа, что процесор нагружается сам по себе, 2 раза комп намертво зависал ни с того ни с сего, я тогда не придал этому внимания, а теперь думаю это всё из-за шифровки было.

[M Sk]

 

Патч не ставил ввиду слегка не лицензионной семерки.

ССЗБ.

Этот патч никак не связан с проверкой валидности винды, так что поставьте.

Стоит SP1, но почитав форум, а именно отзывы тех кто уже пробовал ставить патч 17-010, опасаюсь, что может не встать сам по себе и ему нужны некоторые предыдущие патчи Изменено 15 мая, 2017 пользователем M Sk