Перейти к содержанию

Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке


pipok

Рекомендуемые сообщения

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":


 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

  • Спасибо (+1) 27
  • Улыбнуло 5
  • Согласен 28
Ссылка на комментарий
Поделиться на другие сайты

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone
Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.
  • Спасибо (+1) 3
  • Улыбнуло 1
  • Согласен 20
  • Сомневаюсь 1
Ссылка на комментарий
Поделиться на другие сайты

ну собственно народ который изучает код криптора пишет что шансов восстановить файлы практически нет, т.к. пока никаких ошибок/уязвимостей в алгоритме шифрования не нашли, была надежда на то что приватный ключ можно будет получить при помощи т.н. "Атаки Винера", но в данном случае она бесполезна.

Ссылка на комментарий
Поделиться на другие сайты

что за папка ProductData 15.0517? в ней-asc10Stat [OtherStat] 09.052.17 15:52 - параметры конфигурации;

[OtherStat]

SF_129=05/09/2017
SF_131=05/09/2017
SF_1=05/09/2017
SF_15=05/09/2017
SF_6=05/09/2017
SF_12=05/09/2017
SF_145=05/09/2017
SF_159=05/09/2017
SF_32=05/09/2017

SF_34=05/09/2017- параметры конфигурации,

и StatCache.db WNCRY 09.052.17 16:01

Изменено пользователем KoSmOs93
Ссылка на комментарий
Поделиться на другие сайты

Может кому помогу - незнаю..    У меня на одном из зашифрованных компьютеров удалось следующее:

1) скачал образ Strelec_USB и записал его на флэшку - сделал ее загрузочной.

2) загрузился и запустил программу Active File Recovery 

Как результат удалось восстановить некоторое количество фотографий и документов (которые были удалены на жестком диске, но не переписаны сверху информацей) ...  Хоть что-то удалось сохранить..  

А вот с зашифрованными файлами сделать ничего не удалось - не восстанавливаются они таким образом.. 

А в данном случае есть какая-то разница: грузиться из под загрузочной флешки или из под самой винды?

Ссылка на комментарий
Поделиться на другие сайты

 

 


А в данном случае есть какая-то разница: грузиться из под загрузочной флешки или из под самой винды?
Да, потому что винда во время работы пишет файлы на диск. Чем больше на диск записано после шифрования, тем меньше шансов что-то восстановить таким способом.
Ссылка на комментарий
Поделиться на другие сайты

Я сидел за натом и меня это не спасло. Если быть точным даже за двумя два роутера.

 

За двумя роутерами сидели в одиночку с одним компьютером? Такое чудо зачем?

Изменено пользователем Sandynist
Ссылка на комментарий
Поделиться на другие сайты

Опять началось заражение. Установил все описанные в статье обновления, но буквально только что аваст заблокировал mssecsvc.exe

 

0681c77bf18c.png
Изменено пользователем Андрей Соломко
Ссылка на комментарий
Поделиться на другие сайты

 

Опять началось заражение. Установил все описанные в статье обновления, но буквально только что аваст заблокировал mssecsvc.exe

 

0681c77bf18c.png

 

Значит дыра все еще есть даже в 10 винде, если антивирус блокирует на стадии того, что вирус уже находится на системном диске

Ссылка на комментарий
Поделиться на другие сайты

 

 

Опять началось заражение. Установил все описанные в статье обновления, но буквально только что аваст заблокировал mssecsvc.exe

 

Значит дыра все еще есть даже в 10 винде, если антивирус блокирует на стадии того, что вирус уже находится на системном диске

 

Cорри, на этом пк не было патча. Сейчас обновил, и вирус не появляется.

Ссылка на комментарий
Поделиться на другие сайты

В «Лаборатории Касперского» назвали возможных создателей вируса WannaCry

 

Вирус-вымогатель WannaCry, чьими жертвами стали более 200 тыс. человек и организаций в 150 странах, могли создать северокорейские хакеры из группировки Lazarus, которых обвиняют в организации крупных атак на ЦБ Бангладеш и Sony Pictures Entertainment

 

Создателями вируса-вымогателя WannaCry, атаковавшего в последние дни тысячи компьютеров в 150 странах мира, могут быть хакеры из северокорейской кибергруппировки Lazarus, предположительно ответственной за кражу $81 млн из ЦБ Бангладеш в феврале 2016 года и атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Об этом написал на своей странице в Facebook главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

 

По словам аналитика, код, обнаруженный в WannaCry, совпадает с кодом из троянских вирусов, которые применяли Lazarus ранее.

 

«Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышали] в последнее время? Детектив закручивается все сильнее, и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus. <...> Боюсь что после такого Северную Корею в интернете мы больше не увидим», — отметил Гостев.

 

Эксперт также приложил к своей публикации скриншоты двух кодов: один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, они частично совпадают друг с другом.

 

 

http://www.rbc.ru/technology_and_media/15/05/2017/591a0e459a79470b94272704?from=main

Ссылка на комментарий
Поделиться на другие сайты

 

А в данном случае есть какая-то разница: грузиться из под загрузочной флешки или из под самой винды?

Да, потому что винда во время работы пишет файлы на диск. Чем больше на диск записано после шифрования, тем меньше шансов что-то восстановить таким способом.

 

Но ведь они же зашифрованны, а не удалены

Ссылка на комментарий
Поделиться на другие сайты

В «Лаборатории Касперского» назвали возможных создателей вируса WannaCry

 

Вирус-вымогатель WannaCry, чьими жертвами стали более 200 тыс. человек и организаций в 150 странах, могли создать северокорейские хакеры из группировки Lazarus, которых обвиняют в организации крупных атак на ЦБ Бангладеш и Sony Pictures Entertainment

 

Создателями вируса-вымогателя WannaCry, атаковавшего в последние дни тысячи компьютеров в 150 странах мира, могут быть хакеры из северокорейской кибергруппировки Lazarus, предположительно ответственной за кражу $81 млн из ЦБ Бангладеш в феврале 2016 года и атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Об этом написал на своей странице в Facebook главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

 

По словам аналитика, код, обнаруженный в WannaCry, совпадает с кодом из троянских вирусов, которые применяли Lazarus ранее.

 

«Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышали] в последнее время? Детектив закручивается все сильнее, и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus. <...> Боюсь что после такого Северную Корею в интернете мы больше не увидим», — отметил Гостев.

 

Эксперт также приложил к своей публикации скриншоты двух кодов: один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, они частично совпадают друг с другом.

 

 

http://www.rbc.ru/technology_and_media/15/05/2017/591a0e459a79470b94272704?from=main

Сейчас все начнут обвинять друг друга преследуя политические цели, англичане тоже уже сказали, что у них есть доказательства причастности русской группировки хакеров, которая ещё пол года назад писала, что у них есть сведения о слабых местах windows

Изменено пользователем Aleksey Nek
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Вряд ли северокорейцы сделали это, Китай основной союзник тоже пострадал, уже писали что специально в коде вируса оставляют следы того кого надо поставить...

Ссылка на комментарий
Поделиться на другие сайты

закрываем порт 135

В ключе регистра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
у параметра "EnableDCOM" , имеющего значение "Y" изменить это значение на "N"
"EnableDCOM"="N"
Перезагружаемся. 

после этих действий пропала вкладка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole , так и должно быть?

Ссылка на комментарий
Поделиться на другие сайты

Но ведь они же зашифрованны, а не удалены

оригиналы после шифрования удаляются и если они не были перезаписаны, то их можно восстановить.

Ссылка на комментарий
Поделиться на другие сайты

пару минут назад опять какая-то ерунда пыталась залезь, антивирус спас, я надеюсь. Но на всякий отключил и порт 135 

В ключе регистра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
у параметра "EnableDCOM" , имеющего значение "Y" изменить это значение на "N"
"EnableDCOM"="N"
Перезагружаемся.

-----

Ну может кому еще пригодится;

закрыть 445 порт Windows 7

Открываем панель управления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".
В списке устройств появятся "драйвере несамонастраиваемых устройств"
Открвыем этот пункт, и в появившемся списке открываем "NETBT" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".
Перезагружаемся.

Изменено пользователем KoSmOs93
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...