Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке

[Ig0r]

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":

Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64

 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

[Soft]

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone

Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.

[maximum]

 

с дешифратором пока все плохо, но будет...

 

 

Дешифратор уже пилите? а то народ ждёт надеется и верит!

// "поднимите мне веки"

 

Читайте учебники по основам криптографии.

Увы, эти учебники ... фатальны.

 

Мы работаем, ищем возможности. Пока что-то не очень, но мы всё равно найдем как победить этих мерзавцев.

 

 

по опыту прошлых шифраторов, крайне мало удалось дешифраторов сделать... так что лучше не надеяться. хотя я представляю сколько людей постарадало, сколько баз 1с убито, сколько крови выстрадано будет...

 

может наконец-то рук-во будет понимать что такое бекап и для чего его надо делать хотя бы 1 раз в неделю

[Pomka.]

хм...выпущен патч даже на старые версии ОС такие как Хрюша

 

https://blog.kaspersky.ru/wannacry-ransomware/16147/

[Umbertoeko]

@Umbertoeko,у меня две папки recycle и recycle.bin (обе скрытые), вот в первой все файлы, а во второй также три корзины с недавно удаленным содержимым

А у меня она пуста...(((У меня там фоток ребенка на 50 гб было (ну и еще куча всего, но не столь ценного), а свободного места где-то 9 гб.

а если у меня только диск С ? где искать эту папку?

На диске С, только ткройте доступ к скрытым папкам (панель управления-оформление-параметры папок).

[SeRioOuS]

 

@Umbertoeko,у меня две папки recycle и recycle.bin (обе скрытые), вот в первой все файлы, а во второй также три корзины с недавно удаленным содержимым

А у меня она пуста...(((У меня там фоток ребенка на 50 гб было (ну и еще куча всего, но не столь ценного), а свободного места где-то 9 гб.

а если у меня только диск С ? где искать эту папку?

На диске С, только ткройте доступ к скрытым папкам (панель управления-оформление-параметры папок).

 

доступ открыт, вижу некоторые папки, а той самой нет(

[halit]

Хм... А традиционный путь получения шифровщика, возможно, тоже не забыт:

 

"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:

1) Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit

2) Infection through SMB exploit when an unpatched computer can be addressed in other infected machines

blogs. technet. microsoft. com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/".

 

И тогда получается, что даже если сервер прикрыт заплаткой, но достаточно кому-то открыть зараженное вложение в письме, к примеру - и вся локалка без заплаток будет заражена....

[Андрей Меньшиков]

В общем спасибо тому кто подсказал про скрытую корзину, в общем смотрим и удивляемся: именно смотрите на время , все файлы что там есть скрыты, и нельзя увидеть...фото было сделано с телефона 3-5 мин назад!

Изменено 13 мая, 2017 пользователем Андрей Меньшиков

[Umbertoeko]

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

[Setkost]

была мысль еще в том году на болванки накатать что есть все фото в pc но нет все откладывал, то что этот вирусняк сожрал почти 2-ТБ это ладно но фото скопленные годами как нибудь вернуть.

[jutmost]

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

Могу точно сказать одно, при шифровании у меня дико прыгали место на дисках, то полностью забиты были, то снова стали как и было, у меня нет никаких папок корзины, нашел кучу файлов через утилиту восстановления с расширением .WNCRY(удаленных), но в них никакого смысла почти, все по 1-50кб, но видел пару файлов почти по 2гб, и большинство затерто намертво, посмотрел даты и ахнул, большинство из них имеет дату, когда мой пк даже ещё на складе собран не был, не то что у меня уже был

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

Я к тому, что зашифрованные файлы имеют размер каков он и был, и моя скорость интернета не позволила бы ему все подменить, а все было на моих глазах, файлы безусловно настоящии, остаётся только надеяться на дешифровку

[Андрей Меньшиков]

Хмм народ кто шарит поразмышляйте, случаем это не файлы восстановления, которые могли бы вернуть обратную кодировку, хз не шарю тупо капаюсь в системе, в ожидание чуда при том эти файлы были сделаны в тоже время что и файлы в корзине

[jutmost]

Хмм народ кто шарит поразмышляйте, случаем это не файлы восстановления, которые могли бы вернуть обратную кодировку, хз не шарю тупо капаюсь в системе, в ожидание чуда при том эти файлы были сделаны в тоже время что и файлы в корзине

На первый взгляд, это даже не от него

[Soft]

@Андрей Меньшиков, это системные файлы, ваш профиль

 

 

В общем спасибо тому кто подсказал про скрытую корзину, в общем смотрим и удивляемся: именно смотрите на время , все файлы что там есть скрыты, и нельзя увидеть...фото было сделано с телефона 3-5 мин назад!

в свойствах "Параметры папок" снимите галочку "Скрывать защищённые системные файлы". Файлы должны отобразиться.

[Андрей Меньшиков]

@Андрей Меньшиков, это системные файлы, ваш профиль

не изменялись старые файлы целый год, а эти новые бац и изменились , в то время как была атака? Странно.

[maximum]

возможно у некоторых просто отключено шифрование в системе, поэтому шифровальщик просто тупо переименовал файлы

 

в свое время искал советы, находил что-то типа такого
 

 

В Windows Vista и более поздних версиях Windows, вы можете запретить пользователям шифровать свои файлы  двумя способами. Во-первых, выполнив команду fsutil behavior set disableencryption 1 вы можете отключить EFS на всех NTFS томах на вашем компьютере, поэтому при выполнении этой команды с помощью сценария входа, можно отключить EFS на компьютерах целевых пользователей.

А во-вторых, так как вышеуказанная  команда fsutil в конечном итоге нужна, чтобы изменить параметр реестра NtfsDisableEncryption, это значение типа  REG_DWORD находится в разделе HKLM\SYSTEM\CurrentControlSet\Control\FileSystem, это означает, что вы могли бы также создать пользовательский файл ADMX для развертывания такого изменения реестра при помощью групповой политики. Для получения дополнительной информации о том, как создать собственный файл ADMX, см. KB 918239

 

 

но не знаю насколько это дает толк, возможно речь лишь об инструментах шифрования самой системой

Изменено 13 мая, 2017 пользователем maximum

[Soft]

не изменялись старые файлы целый год, а эти новые бац и изменились , в то время как была атака? Странно.

эти файлы изменяются каждый раз при завершении сеанса пользователем.