Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[andrew75]

Коллеги, подскажите, если я бэкапы шифрую aes256, то подобные вирусы их не тронут? Если тронут, то какая панацея?

Хранить их на внешних дисках, неподключенных к компьютеру.

[fremt]

 

Коллеги, подскажите, если я бэкапы шифрую aes256, то подобные вирусы их не тронут? Если тронут, то какая панацея?

Хранить их на внешних дисках, неподключенных к компьютеру.

 

А если сетевой диск?

[dron4938]

 

 

Коллеги, подскажите, если я бэкапы шифрую aes256, то подобные вирусы их не тронут? Если тронут, то какая панацея?

Хранить их на внешних дисках, неподключенных к компьютеру.

 

А если сетевой диск?

 

Нет никакой гарантии))) все надо хранить на бумагах) и фото рапечатывать)

[KoSmOs93]

Лови, наклепал чтобы не мучаться, актуально для Windows 7 64

Отключеие/включение 135, 445 порта и SMBv1 протокола

https://yadi.sk/d/jZYi1mP33JCxZ7

я сначала : 

1  порт 135 

В ключе регистра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

у параметра "EnableDCOM" , имеющего значение "Y" изменить это значение на "N"

"EnableDCOM"="N"

Перезагружаемся.

 

2 порт 445

Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".

В списке устройств появятся - драйвера несамонастраиваемых устройств.

Открываем этот пункт, и в появившемся списке открываем "NetBT " -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".

Перезагружаемся.

 

135 в итоге не отключился, да и 445 настораживал, поэтому я добавил к этому ;

 

3   445 добил 

удаляем это значение. в окне Редактор реестра откройте раздел [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N etBT\Parameters]; – удалите строковый (REG_SZ) параметр TransportBindName значение по умолчанию \Device\ и у все имеющихся- сontrolSet002 сontrolSet001 -если есть, и у CurrentControlSet

Перезагружаемся.

 

4 135 

Пуск -> Выполнить и вводим

Dcomcnfg.exe

Что бы выключить DCOM, открываем панель "Свойства по умолчанию" и убираем галочку "Разрешить использовать DCOM на этом компьютере".

Перезагружаемся.

Полный путь к "Свойства по умолчанию":

Службы компонентов-Компьютеры-Мой Компьютер-Свойства-"Свойства по умолчанию" ,

чисто символично зашел, галочки там и не было, но при нажатии ОК меня попросили подтвердить действия. перезагрузка. и порты отключились.  

Проверить открыт/закрыт порт онлайн можно здесь https://hidemy.name/ru/ports/ 

[dron4938]

Онлайн сервисы ничего толком не проверяют. Узнать 100% состояние порта можно так:

 

 

и видим что 135 445 порт LISTENING — означает что это открытый порт, слушающий соединение.

[F3R272]

Лови, наклепал чтобы не мучаться, актуально для Windows 7 64

Отключеие/включение 135, 445 порта и SMBv1 протокола

https://yadi.sk/d/jZYi1mP33JCxZ7

 

Не сработало. Перезагрузился, порты остались открыты

[dron4938]

 

Лови, наклепал чтобы не мучаться, актуально для Windows 7 64

Отключеие/включение 135, 445 порта и SMBv1 протокола

https://yadi.sk/d/jZYi1mP33JCxZ7

 

Не сработало. Перезагрузился, порты остались открыты

 

Так я уже 2 часа тут толкую о том, что правка в реестре не отключает порты)

[Vendetta]

а может быть, что этого протокола SMBv1 вообще нет у меня? по пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters нет пункта SMBv1, а после выполнения команды: dism /online /norestart /disable-feature /featurename:SMB1Protocol пишет: имя компонента "SMB1Protocol" неизвестно. патч поставить не удается, автономный установщик Windows выполняет бесконечный поиск обновлений на этом компьютере. Windows 7 Home Premium SP1 x64

[kapral33]

Странно я поставил патчь от майкрософта, прописал в командной строке "dism /online /norestart /disable-feature /featurename:SMB1Protocol" И всё равно получается что у меня порты открыты?

И главное когда я ввёл команду в командую строку, мне написали что функция отключена 100.0%

Изменено 16 мая, 2017 пользователем kapral33

[Кирилл Воронин]

Странно я поставил патчь от майкрософта, прописал в командной строке "dism /online /norestart /disable-feature /featurename:SMB1Protocol" И всё равно получается что у меня порты открыты?

И главное когда я ввёл команду в командую строку, мне написали что функция отключена 100.0%

Они и останутся открытыми. Патч убирает уязвимость, а не закрывает порты. А команда выключает SMBv1, но тоже не закрывает порты.

Изменено 16 мая, 2017 пользователем Кирилл Воронин

[Soft]

А может вы не будете страдать глупостью и установите просто патч.

[ska79]

@kapral33, патч поставили-уязвимость закрыта, зачем отключать порты?

[dron4938]

А может вы не будете страдать глупостью и установите просто патч.

Так если он не ставится, после него синий экран, вот мы о чем. Зачем мне патч, после которого виндовс не запускается) что мне в синем экране делать?

[F3R272]

Я уже заказал и сегодня заберу Windows 10 за 12000р. Уж лучше чем 300$ хакерам дарить))) 

Возможно мелкософт с ними в сговоре? и после этих атак лицензионные windows 10 будут разлетаться, как горячие пирожки, имхо.

[Riosis]

Прочитал ветку. Свои 5 копеек вставлю.

MSE с 070517 (на рабочих станциях) отбивается от заразы из вне.Обновления автоматом не ставятся, по собственной статистике от них больше геморроя чем пользы (Win7ProSP1). На серваках (Win2008R2SP1) обновы льются автоматом (на обоих все якобы установлено), на одном все ок,заплатка от wannacry стоит, работает в норм режиме, на второй, постоянно ломится зараза, посмотрел на наличие заплаток от wannacry, их не оказалось, поставил вручную, дрянь ломиться перестала.

Накатил заплатки на раб.станции, все встало норм (без бсод), попытки прорваться прекратились. Фактически на раб.станциях стоит пиратка, хотя боксы с ключами есть в сейфе.

1. Бсод ни как не связан с пираткой.

2. На двух одинаковых серверах на которых система рапортует, что все обновы стоят, фактически на одном заплаток не было, загадка...