Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[Иван123]

Наверное это не правильно рекламировать конкурентов, но может, если обратиться в drWeb, там могут помочь. Был случай год назад, у знакомой вирус зашифровал все файлы doc, xls, jpg и другие форматы офисных приложений, попал он через почту, как письмо связанное вроде бы с бухгалтерией, и это тоже было довольно массово, в новостях правда не писали и было видимо это только в России, но на форумах и здесь, и на DrWEB было много сообщений от пострадавших, вирус шифровал ещё файлы 1C, правда у знакомой он как-то этот формат обошёл стороной. В общем обратился в службу поддержки веба (на сайте у них уже была информация о бесплатной расшифровке, но только для обладателей коммерческих продуктов), там сказали, что услуга платная и не факт что удастся восстановить, предложили отправить им несколько зашифрованных файлов и открытый ключ который остался на компе, в итоге мне прислали уже расшифрованные файлы и мне чтобы получить дешифровщик, осталось только приобрести у них конкретный антивирусный продукт с лицензией на два года, это около 5т. рублей, но знакомая потом передумала, сказала что денег пока нет, ну и файлы не такие видимо важные были, в итоге на этом всё и закончилось. Перед расшифровкой мне специалист говорил что шансов восстановить мало, т.к. я не пользователь Веба. Хотя поговаривают, что DrWEB сам этот вирус и запустил.

[Денис-НН]

Вот мне интересно, это первый вирус своего рода, до него таких вирусов которые сами проникали-бы на комп в таких масштабах ещё небыло. И глядя на это вирус любой программист может наделать 20 и 30 похожих вирусов, от которых не будет спасения.

Почему первый? Есть не то что парочка похожих, а целый класс таких вирусов. Сетевые черви называются. И эпидемии были.

[kapral33]

@Иван123, Это всемирный вирус, если касперский или вэб найдут ключи то денег или покупку лицензии точно требовать не будут.

[Иван123]

@Иван123, Это всемирный вирус, если касперский или вэб найдут ключи то денег или покупку лицензии точно требовать не будут.

Почему, ключ у каждого должен быть свой, он не один для всех, если в лабораториях где предлагают расшифровку, это занимает какие-то физические и умственные ресурсы, то почему за свои услуги не просить вознаграждение?

[kapral33]

Это правда что новых заражений больше не будет. (Ну пока во всяком случае)?
 

Специалист по безопасности, известный в Twitter как MalwareTechBlog, обнаружил, что вирус-шифровальщик WanaCrypt0r 2.0 (он же WCry) обращается к незарегистрированному домену со странным именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Эксперт решил зарегистрировать сайт с таким именем, чтобы проследить за активностью зловредного ПО, однако он никак не предполагал, что такой шаг приостановит распространение вируса.

Как позже удалось выяснить, WanaCrypt0r 2.0 запрашивает доступ к сайту iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и в случае успешного обращения прекращает заражение. По всей видимости, создатели вируса оставили для себя возможность при необходимости быстро остановить его распространение.

[dron4938]

Под «зашифровано RSA» обычно имеется ввиду следующее:

1. Есть публичный RSA-ключ.
2. Генерируется (к примеру) AES ключ.
3. AES ключ шифруется публичным RSA-ключом.
4. Файлы шифруются AES ключом.
5. AES ключ уничтожается, остается только его зашифрованная RSA копия.

как видно, приватный RSA-ключ на клиенте не генерируется.

 

Если по-русски, ключ создался рандомный у всех и зашифровался тем ключем который у хакеров.

 

Ктонить пробывал андроид телефон подключить к компу, а то нужно, но ссыкатно

[Иван123]

 

Это правда что новых заражений больше не будет. (Ну пока во всяком случае)?

 

Специалист по безопасности, известный в Twitter как MalwareTechBlog, обнаружил, что вирус-шифровальщик WanaCrypt0r 2.0 (он же WCry) обращается к незарегистрированному домену со странным именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Эксперт решил зарегистрировать сайт с таким именем, чтобы проследить за активностью зловредного ПО, однако он никак не предполагал, что такой шаг приостановит распространение вируса.

Как позже удалось выяснить, WanaCrypt0r 2.0 запрашивает доступ к сайту iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и в случае успешного обращения прекращает заражение. По всей видимости, создатели вируса оставили для себя возможность при необходимости быстро остановить его распространение.

 

Вот вчера в новостях писали, что создатели вируса его перезапустили, правда сегодня об этом не встретил ни одной новости.

[JustNickname]

видимо да, либо если подменить ключ на свой. но какой в этом смысл)

 

Данный ключ можно было выдрать из памяти в момент генерации

 

а вы знаете каким образом можно было бы выдернуть нужный ключ, когда вирус шифрует файлы?

чем? какой программой?

 

я просто дурак, вчера второй раз его хапнул

может третий раз его пригласить , и попытаться вычислить необходимый ключ? или это бред?

Изменено 15 мая, 2017 пользователем JustNickname

[dron4938]

 

Это правда что новых заражений больше не будет. (Ну пока во всяком случае)?

 

Специалист по безопасности, известный в Twitter как MalwareTechBlog, обнаружил, что вирус-шифровальщик WanaCrypt0r 2.0 (он же WCry) обращается к незарегистрированному домену со странным именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Эксперт решил зарегистрировать сайт с таким именем, чтобы проследить за активностью зловредного ПО, однако он никак не предполагал, что такой шаг приостановит распространение вируса.

Как позже удалось выяснить, WanaCrypt0r 2.0 запрашивает доступ к сайту iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и в случае успешного обращения прекращает заражение. По всей видимости, создатели вируса оставили для себя возможность при необходимости быстро остановить его распространение.

 

Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

 

http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main

 

вот тут интересно почитать

https://habrahabr.ru/company/pentestit/blog/328606/

Изменено 15 мая, 2017 пользователем dron4938

[idslash]

 

да, только на некоторых пиратках этот патч вызывает BSOD

подозреваю, что вы путаете с другим патчем, который обновлял драйвер ядра (там и на некоторых лицензионных была проблема). С этим патчем насколько знаю никаких проблем нет.

Но в любом случае обсуждение пираток здесь запрещено.

 

не, я не путаю) много сообщений на эту тему видел, плюс видел вживую, касается тех пираток где smbv1 уже вырезан скорее всего.

[regist]

 

 

Стоит SP1, но почитав форум, а именно отзывы тех кто уже пробовал ставить патч 17-010, опасаюсь, что может не встать сам по себе и ему нужны некоторые предыдущие патчи

По отзывам тех, кого лечил в разделе лечения (за этой темой не следил) нужен только SP1. Без него не ставиться, а если он стоит то устанавливается и ничего дополнительно не требует. Но в любом случае советую поставить и другие обновления безопасности. Хотя бы секурите онли. К примеру за май это KB4019263 и в нём ещё подобные свежие  дыры закрыты.

[M Sk]

 

Стоит SP1, но почитав форум, а именно отзывы тех кто уже пробовал ставить патч 17-010, опасаюсь, что может не встать сам по себе и ему нужны некоторые предыдущие патчи

По отзывам тех, кого лечил в разделе лечения (за этой темой не следил) нужен только SP1. Без него не ставиться, а если он стоит то устанавливается и ничего дополнительно не требует. Но в любом случае советую поставить и другие обновления безопасности. Хотя бы секурите онли. К примеру за май это KB4019263 и в нём ещё подобные свежие  дыры закрыты.

Спасибо. Их ставить вручную?

[idslash]

 

видимо да, либо если подменить ключ на свой. но какой в этом смысл)

 

Данный ключ можно было выдрать из памяти в момент генерации

 

а вы знаете каким образом можно было бы выдернуть нужный ключ, когда вирус шифрует файлы?

чем? какой программой?

 

я просто дурак, вчера второй раз его хапнул

может третий раз его пригласить , и попытаться вычислить необходимый ключ? или это бред?

 

теоретически выдернуть можно, но для этого перед запуском криптора нужно подготовить машину )

опять же пока это лишено смысла)

возможно он в памяти, т.е. нужно будет снимать дамп.

но это врядли нам поможет. разве что для эксперимента, но этим уже занимаются профи) Если у них чтото получится, то все об этом узнают.

[regist]

 

 

Их ставить вручную?

Если security only quality update, то да их только вручную. Если security monthly quality rollup то через центр обновления windows.

PS. про их отличие писал тут и пара постов вниз.

[kapral33]

А интересно, хотя-бы в теории можно-ли сделать дешифратор,  или это сильно сложно и никто этим заниматься не будет.?