Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[Mason]

Добрый день. Прошу прощение за свое блаблабла. На работе, пока(!), все нормально, проверял сегодня. Но есть один комп с WindowsXP (обновление до актуальной ОС проблематично по ряду причин, но есть повод поднять эту тему перед начальством как никогда), который две предшествующие недели вел себя странно, вылетал в BSOD, подтормаживал (списал на плохие сектора на харде). С пятницы он был выключен от греха подальше. Сегодня в безопасном режиме сканировал KVRT, поймал в системной памяти троян. До того так же ловился этот троян и MEM:Trojan.Win32.EquationDrug.gen. В пятницу в района 18:00 по Иркутскому времени был вылет в BSOD без какой-либо причины. Вопрос, как поступить завтра, чтобы недопустить шифровки файлов в том случае, если гадость таки удачно была словлена? Мне нужно, как понимаю, поставить заплатку по ссылке из первого сообщения в теме, также мне требуется обновить версию KIS до актуальной (было запущено в свое время ). Подскажите аккуратный и грамотный порядок действий, так как боюсь, что при загрузке в небезопасном режиме получу по самое ойойой Спасибо.

P.S. по логам фаерволла видно, что 9 мая в 14:40 нечто подозрительное залетало с французского IP (могу показать адрес завтра, когда вновь доберусь до компа).

[Mark D. Pearlstone]

@Mason, да, порядок действий написан в верхнем сообщении темы
Можете всё нужное принести на флешке с другого ПК, а на этом не включать интернет до установки обновления безопасности и актуальной версии антивируса, на всякий случай.

[Сергей Крюков]

Здравствуйте. Вопрос следующий, если я хранил бы документы на яндекс диске, это помогло бы мне избежать кодировки файлов? Или вирус проник бы туда и синхронизировал , после чего все файлы были бы тоже закодены? 

У меня было подключено два облака

Дропбокс зашифрован полностью, покопался через веб - плюнул и просто удалил все

В облаке майла не оказалось ни одного шифрованного файла, хотя синхронизация тоже была подключена. До сих пор причина этого для меня под вопросом - предполагаю, что могла спасти массовость шифровки - шла постоянная индексация 240 гигов, что отложило синхронизацию до того момента, как я вернулся к ноуту и первым делом отрубил это облако

[Денис-НН]

 Вопрос, как поступить завтра, чтобы недопустить шифровки файлов в том случае, если гадость таки удачно была словлена?

Возьмите что то типа КРД   Подготовьте загрузочный носитель и переносной винчестер. Подключите к больному винчестер, загрузитесь с КРД и скопируйте важные файлы на переносной винт. Просканируйте систему на вирусы.  Винчестер отсоедините и загрузите компьютер в обычном режиме. После этого компьютер можно будет включать. Даже если вирус и останется, данные вы сохраните.

[Mark D. Pearlstone]

Дропбокс зашифрован полностью

Старые копии изменённых файлов в Dropbox не сохранились? Он же хранит их некоторое время после изменения.

[kerberos]

Возник вопрос: Windows 10 Version 1607 x64, установлены последние обновления на 10.05.17, kb4013429 предлагаемое вами в качестве заплатки выпущено для сборки ОС 14393.953 14.03.17 г., у меня версия ОС 14393.1198 для этой версии последнее kb4019472, зачем мне накатывать старое kb4013429 предназначенное для старой сборки ОС, если очевидно, что в новой сборке ОС заплатка теоретически присутствует? Из этого возникает и второй вопрос, как узнать закрыта уязвимость, именно SMB, или нет?

[andrew75]

Mason,

Грузитесь в безопасном режиме и проверяете наличие следующих ключей в реестре:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[installed_Folder]\Desktop\@WanaDecryptor@.bmp"

Дальше по результату.

 

kerberos,

если обновления установлены, то ничего дополнительно устанавливать не надо.

Изменено 13 мая, 2017 пользователем andrew75

[Mark D. Pearlstone]

@kerberos, если установлены все обновления, то ставить ничего не нужно. Ссылки на обновления безопасности для тех, кто не устанавливал их ранее или ставил частично.

[KoSmOs93]

Kasper VRT нашел еще один троянчик, с:programm data\kwzddhmb548\u.wnry Trojan-Ransom.Win32.Wanna.c

[Сергей Крюков]

 

Дропбокс зашифрован полностью

Старые копии изменённых файлов в Dropbox не сохранились? Он же хранит их некоторое время после изменения.

 

Я сильно глубоко не копал - там ничего важного/ценного не было, чуток полазил по сайту, но лень было глубоко копать

В общем, удалил и потопал восстанавливать проверять второе облако, а потом - и копировать в другую учетку, которая не синхронизируется с компом

[Mark D. Pearlstone]

@Сергей Крюков, проверьте. Там есть такая возможность.

[Gor_un_ycH]

В 2:22 прибыли первые диверсанты из подразделения @WanaDecryptor@,в 13:54 началось основное вторжение. Как эти твари попали на выключенный комп? Вот это интересно

 

Мне тоже очень интересчно так-как у меня тоже самое!!!

[lammer]

 

Мне тоже очень интересчно так-как у меня тоже самое!!!

 

Вам знакомо понятие ботнет? просто поступила команда активации.

[Umbertoeko]

Слежу за веткой со вчерашнего дня, сам вирус удалил, почистил по схеме. Кроме вопроса дешифровки беспокоит дребежащий (словно тормозящий) звук в ютубе, появился уже после очистки. У кого-то еще есть такое? Куда копать?

Изменено 13 мая, 2017 пользователем Umbertoeko

[Mark D. Pearlstone]

@Umbertoeko, нагрузки на систему во время воспроизведения нет? В другом браузере тоже самое? Драйвер на звук пробовали переустанавливать?