Перейти к содержанию

Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке


pipok

Рекомендуемые сообщения

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":


 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

  • Спасибо (+1) 27
  • Улыбнуло 5
  • Согласен 28
Ссылка на комментарий
Поделиться на другие сайты

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone
Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.
  • Спасибо (+1) 3
  • Улыбнуло 1
  • Согласен 20
  • Сомневаюсь 1
Ссылка на комментарий
Поделиться на другие сайты

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

 

Не знаю, может быть эта информация уже известна, может быть, кому-то поможет:

 

Структура зашифрованного файла *.WNCRY состоит из сигнатуры вируса WANACRY!, затем, со сдвигом в 4 байта, идут 256 байт, судя по всему, ключевой информации для расшифровки, оканчивающиеся байтом со значением 0x04h, затем идут 5 байт непонятной сигнатуры, разной у всех зашифрованных файлов (сигнатура разнится чаще всего в пределах двух последний байтов), пропускаем 6 нулевых байт, далее начинается зашифрованное тело файла, размер в байтах данного сектора во всех просмотренных мною файлах всегда делился на 16 - т.е. 128 бит.

 

В папке с шифровальщиком - системный диск:\ProgramData\frrwhovu416 лежат файлы разных расширений с именами 00000000.*

 

Их, как я полагаю, ни в коем случае нельзя удалять. Скорее всего это - ключевая информация, которой пользуются злоумышленники для восстановления.

 

В 00000000.pky можно обнаружить сигнатуру "RSA1" и 256 байт данных, 00000000.res по очереди идут данные набором по 8, 4, 16 байт соответственно. 00000000.eky - в моём случае 1280 байт данных с оффсетом в 4 байта. Также программа, судя по поведенческому анализу, проверяет какое-то значение в ветке реестра Software\WanaCrypt0r, но, к сожалению - доступа к удалённой машине у меня нет, поэтому в реестр сейчас глянуть не могу. Также, судя по всему, программа использует функции WindowsAPI для шифрования, расшифровки и работы с ключами.

 

Кстати, в папке с программой лежат несколько файлов "*.wnry", в них, как я понимаю, находятся побочные данные для дропа dll, адреса tor, и проч. "t.wnry" - оказалось одним из зашифрованных файлов. "u.wnry" - сама @WanaDecrypt@.exe

 

Есть образцы 6 пар файлов - заражённых и незаражённых, сейчас сравнил по размерам незаражённый файл и последний блок данных в WNCRY - идентичны, но это, скорее всего, подойдёт только для видеозаписей, которые сами по себе имеют размер, кратный 16 - для блочного шифрования - если это оно. Как в случае текстовых документов - нет исходника,увы, есть только зашифрованный текстовик.

 

Судя по всему, действительно, использует для шифрования последовательность RSA и AES. И 128-битный ключ AES, можно предположить - это 16-байтный набор в 00000000.res.

 

Сообщение от модератора "Mark D. Pearlstone"
Темы объединены.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@votvot, обновление на ОС ставить нужно обязательно. Для проверки ПК на вирусы можете использовать Kaspersky Virus Removal Tool.
 
@Алексей Плотников, ссылки есть в теме. Можете в поиске найти.

Ссылка на комментарий
Поделиться на другие сайты

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

какая хоть у вас ОС?

Ссылка на комментарий
Поделиться на другие сайты

Ну все одно- заразы то нет..

обновление баз на прогу приходят, что еще нужно?

я писал не за это..

просто не понятно, почему не устанавливается обнова, что в шапке..

Для вашей системы должно быть установлено обновление KB4012215

 

Что касается KIS2012, то это не защита, а иллюзия защиты. Он не защищает от современных угроз и шифровальщиков.

Это не к тому, что я рекомендую срочно купить новую версию, я просто констатирую факт.

Ссылка на комментарий
Поделиться на другие сайты

@votvot, обновление на ОС ставить нужно обязательно. Для проверки ПК на вирусы можете использовать Kaspersky Virus Removal Tool .

 

@Алексей Плотников, ссылки есть в теме. Можете в поиске найти.

Поэтому и пишу, что не знаю как найти.. :-(  Нашел ссылки на бюллетени, но там черт ногу сломит .. :-( 

Ссылка на комментарий
Поделиться на другие сайты

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

В таблице выбираете вашу систему и нажимаете на соответствующую ссылку в левой колонке таблицы.

 

Сейчас еще Miсrosoft-овские сервера тормозят, все обновления качают видимо.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

 

А кто-нибудь может дать прямые ссылки на файлики от Микрософта, которые эту дыру в SMB латают?  Залез по бюллетеням пошарился - не могу что-то понять как оттуда скачать эти KB  :-(

В таблице выбираете вашу систему и нажимаете на соответствующую ссылку в левой колонке таблицы.

 

Спасибо, Уважаемый! Буду пробовать!

Ссылка на комментарий
Поделиться на другие сайты

 

 

Для вашей системы должно быть установлено обновление KB4012215

 

 

Я писал, что проблема с установкой. После перезагрузки на вин значке зависает комп, откл. HDD, клава и мышь.. Помогает восстановление.. А это значит, что обнова в отказе.

Изменено пользователем BY_Pashka
Ссылка на комментарий
Поделиться на другие сайты

Скачал обновление, однако не могу установить, т.к. пишет "не применимо к данному компьютеру".

Алсо, как вообще проверить, установлено оно ли нет?
Извиняюсь, вопросы простые, но я не разбираюсь в этом.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...