Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[Алексей Плотников]

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

[xmastah]

Добрый день.

 

Не знаю, может быть эта информация уже известна, может быть, кому-то поможет:

 

Структура зашифрованного файла *.WNCRY состоит из сигнатуры вируса WANACRY!, затем, со сдвигом в 4 байта, идут 256 байт, судя по всему, ключевой информации для расшифровки, оканчивающиеся байтом со значением 0x04h, затем идут 5 байт непонятной сигнатуры, разной у всех зашифрованных файлов (сигнатура разнится чаще всего в пределах двух последний байтов), пропускаем 6 нулевых байт, далее начинается зашифрованное тело файла, размер в байтах данного сектора во всех просмотренных мною файлах всегда делился на 16 - т.е. 128 бит.

 

В папке с шифровальщиком - системный диск:\ProgramData\frrwhovu416 лежат файлы разных расширений с именами 00000000.*

 

Их, как я полагаю, ни в коем случае нельзя удалять. Скорее всего это - ключевая информация, которой пользуются злоумышленники для восстановления.

 

В 00000000.pky можно обнаружить сигнатуру "RSA1" и 256 байт данных, 00000000.res по очереди идут данные набором по 8, 4, 16 байт соответственно. 00000000.eky - в моём случае 1280 байт данных с оффсетом в 4 байта. Также программа, судя по поведенческому анализу, проверяет какое-то значение в ветке реестра Software\WanaCrypt0r, но, к сожалению - доступа к удалённой машине у меня нет, поэтому в реестр сейчас глянуть не могу. Также, судя по всему, программа использует функции WindowsAPI для шифрования, расшифровки и работы с ключами.

 

Кстати, в папке с программой лежат несколько файлов "*.wnry", в них, как я понимаю, находятся побочные данные для дропа dll, адреса tor, и проч. "t.wnry" - оказалось одним из зашифрованных файлов. "u.wnry" - сама @WanaDecrypt@.exe

 

Есть образцы 6 пар файлов - заражённых и незаражённых, сейчас сравнил по размерам незаражённый файл и последний блок данных в WNCRY - идентичны, но это, скорее всего, подойдёт только для видеозаписей, которые сами по себе имеют размер, кратный 16 - для блочного шифрования - если это оно. Как в случае текстовых документов - нет исходника,увы, есть только зашифрованный текстовик.

 

Судя по всему, действительно, использует для шифрования последовательность RSA и AES. И 128-битный ключ AES, можно предположить - это 16-байтный набор в 00000000.res.

 

Сообщение от модератора "Mark D. Pearlstone"

Темы объединены.

[Mark D. Pearlstone]

@votvot, обновление на ОС ставить нужно обязательно. Для проверки ПК на вирусы можете использовать Kaspersky Virus Removal Tool.
 
@Алексей Плотников, ссылки есть в теме. Можете в поиске найти.

[Денис-НН]

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

какая хоть у вас ОС?

[Алексей Плотников]

у меня Win 7 64 бита

[ViRuS322]

Вроде избавился от заразы, но все равно ещё раз проверяю

[andrew75]

Ну все одно- заразы то нет..

обновление баз на прогу приходят, что еще нужно?

я писал не за это..

просто не понятно, почему не устанавливается обнова, что в шапке..

Для вашей системы должно быть установлено обновление KB4012215

 

Что касается KIS2012, то это не защита, а иллюзия защиты. Он не защищает от современных угроз и шифровальщиков.

Это не к тому, что я рекомендую срочно купить новую версию, я просто констатирую факт.

[Алексей Плотников]

@votvot, обновление на ОС ставить нужно обязательно. Для проверки ПК на вирусы можете использовать Kaspersky Virus Removal Tool .

 

@Алексей Плотников, ссылки есть в теме. Можете в поиске найти.

Поэтому и пишу, что не знаю как найти.. :-(  Нашел ссылки на бюллетени, но там черт ногу сломит .. :-( 

[andrew75]

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

В таблице выбираете вашу систему и нажимаете на соответствующую ссылку в левой колонке таблицы.

 

Сейчас еще Miсrosoft-овские сервера тормозят, все обновления качают видимо.

Изменено 13 мая, 2017 пользователем andrew75

[Deemon]

Алексей Плотников,

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

[Алексей Плотников]

 

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

В таблице выбираете вашу систему и нажимаете на соответствующую ссылку в левой колонке таблицы.

 

Спасибо, Уважаемый! Буду пробовать!

[BY_Pashka]

 

 

Для вашей системы должно быть установлено обновление KB4012215

 

 

Я писал, что проблема с установкой. После перезагрузки на вин значке зависает комп, откл. HDD, клава и мышь.. Помогает восстановление.. А это значит, что обнова в отказе.

Изменено 13 мая, 2017 пользователем BY_Pashka

[Алексей Плотников]

Алексей Плотников,

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

 

Спасибо!

[Mr RagingOrc]

Скачал обновление, однако не могу установить, т.к. пишет "не применимо к данному компьютеру".

Алсо, как вообще проверить, установлено оно ли нет?
Извиняюсь, вопросы простые, но я не разбираюсь в этом.

[Friend]

@Mr RagingOrc, у вас какая операционная система? Попробуйте так: https://support.microsoft.com/ru-ru/help/311047/how-to-keep-your-windows-computer-up-to-date