Перейти к содержанию

Похоже, массовая проблема @WanaDecryptor@.exe зашифрованы файлы, расширение WNCRY, требуется утилита и инструкция по дешифровке


pipok

Рекомендуемые сообщения

Описание угрозы на русском языке

Описание угрозы на английском языке
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

 

Рекомендации по лечению:

- Убедитесь, что у вас включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО.

"Прямые ссылки на обновления безопасности MS17-010":


 
Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.

Статьи с сайта Поддержки Лаборатории Касперского
Информация по ВПО WannaCry и инструкции по борьбе с ним.
Рекомендации по защите компьютера от программ-шифровальщиков

  • Спасибо (+1) 27
  • Улыбнуло 5
  • Согласен 28
Ссылка на комментарий
Поделиться на другие сайты

Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы.

Строгое предупреждение от модератора Mark D. Pearlstone
Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании.
  • Спасибо (+1) 3
  • Улыбнуло 1
  • Согласен 20
  • Сомневаюсь 1
Ссылка на комментарий
Поделиться на другие сайты

 

с дешифратором пока все плохо, но будет...

 

 

Дешифратор уже пилите? а то народ ждёт надеется и верит!

// "поднимите мне веки"

 

Читайте учебники по основам криптографии.

Увы, эти учебники ... фатальны.

 

Мы работаем, ищем возможности. Пока что-то не очень, но мы всё равно найдем как победить этих мерзавцев.

 

 

по опыту прошлых шифраторов, крайне мало удалось дешифраторов сделать... так что лучше не надеяться. хотя я представляю сколько людей постарадало, сколько баз 1с убито, сколько крови выстрадано будет...

 

может наконец-то рук-во будет понимать что такое бекап и для чего его надо делать хотя бы 1 раз в неделю

Ссылка на комментарий
Поделиться на другие сайты

@Umbertoeko,у меня две папки recycle и recycle.bin (обе скрытые), вот в первой все файлы, а во второй также три корзины с недавно удаленным содержимым

А у меня она пуста...(((У меня там фоток ребенка на 50 гб было (ну и еще куча всего, но не столь ценного), а свободного места где-то 9 гб.

а если у меня только диск С ? где искать эту папку?

На диске С, только ткройте доступ к скрытым папкам (панель управления-оформление-параметры папок).
Ссылка на комментарий
Поделиться на другие сайты

 

@Umbertoeko,у меня две папки recycle и recycle.bin (обе скрытые), вот в первой все файлы, а во второй также три корзины с недавно удаленным содержимым

А у меня она пуста...(((У меня там фоток ребенка на 50 гб было (ну и еще куча всего, но не столь ценного), а свободного места где-то 9 гб.

а если у меня только диск С ? где искать эту папку?

На диске С, только ткройте доступ к скрытым папкам (панель управления-оформление-параметры папок).

 

доступ открыт, вижу некоторые папки, а той самой нет(

Ссылка на комментарий
Поделиться на другие сайты

Хм... А традиционный путь получения шифровщика, возможно, тоже не забыт:

 

"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:

1) Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit

2) Infection through SMB exploit when an unpatched computer can be addressed in other infected machines

blogs. technet. microsoft. com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
".

 

И тогда получается, что даже если сервер прикрыт заплаткой, но достаточно кому-то открыть зараженное вложение в письме, к примеру - и вся локалка без заплаток будет заражена....

  • Баян 1
Ссылка на комментарий
Поделиться на другие сайты

В общем спасибо тому кто подсказал про скрытую корзину, в общем смотрим и удивляемся: именно смотрите на время , все файлы что там есть скрыты, и нельзя увидеть...фото было сделано с телефона 3-5 мин назад!

post-45588-0-07765400-1494708815_thumb.jpg

Изменено пользователем Андрей Меньшиков
Ссылка на комментарий
Поделиться на другие сайты

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

Ссылка на комментарий
Поделиться на другие сайты

была мысль еще в том году на болванки накатать что есть все фото в pc но нет все откладывал, то что этот вирусняк сожрал почти 2-ТБ это ладно но фото скопленные годами как нибудь вернуть.

Ссылка на комментарий
Поделиться на другие сайты

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

Могу точно сказать одно, при шифровании у меня дико прыгали место на дисках, то полностью забиты были, то снова стали как и было, у меня нет никаких папок корзины, нашел кучу файлов через утилиту восстановления с расширением .WNCRY(удаленных), но в них никакого смысла почти, все по 1-50кб, но видел пару файлов почти по 2гб, и большинство затерто намертво, посмотрел даты и ахнул, большинство из них имеет дату, когда мой пк даже ещё на складе собран не был, не то что у меня уже был

Хочу все-таки разобраться есть ли у меня смысл надеяться на дешифровщик. Если никакого шифрования не было, а вирус просто спрятал файлы, подменив их на свои, то получается что размер дисков должен был увеличиться? Что было бы сложно не заметить... Или я что то упускаю?

Я к тому, что зашифрованные файлы имеют размер каков он и был, и моя скорость интернета не позволила бы ему все подменить, а все было на моих глазах, файлы безусловно настоящии, остаётся только надеяться на дешифровку

Ссылка на комментарий
Поделиться на другие сайты

Хмм народ кто шарит поразмышляйте, случаем это не файлы восстановления, которые могли бы вернуть обратную кодировку, хз не шарю тупо капаюсь в системе, в ожидание чуда :D при том эти файлы были сделаны в тоже время что и файлы в корзине

post-45588-0-67924600-1494709561_thumb.jpg

post-45588-0-36048300-1494709611_thumb.jpg

post-45588-0-83784000-1494709664_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Хмм народ кто шарит поразмышляйте, случаем это не файлы восстановления, которые могли бы вернуть обратную кодировку, хз не шарю тупо капаюсь в системе, в ожидание чуда :D при том эти файлы были сделаны в тоже время что и файлы в корзине

На первый взгляд, это даже не от него

Ссылка на комментарий
Поделиться на другие сайты

@Андрей Меньшиков, это системные файлы, ваш профиль


 

 


В общем спасибо тому кто подсказал про скрытую корзину, в общем смотрим и удивляемся: именно смотрите на время , все файлы что там есть скрыты, и нельзя увидеть...фото было сделано с телефона 3-5 мин назад!
в свойствах "Параметры папок" снимите галочку "Скрывать защищённые системные файлы". Файлы должны отобразиться.
Ссылка на комментарий
Поделиться на другие сайты

@Андрей Меньшиков, это системные файлы, ваш профиль

не изменялись старые файлы целый год, а эти новые бац и изменились , в то время как была атака? Странно.
Ссылка на комментарий
Поделиться на другие сайты

возможно у некоторых просто отключено шифрование в системе, поэтому шифровальщик просто тупо переименовал файлы

 

в свое время искал советы, находил что-то типа такого
 

 

В Windows Vista и более поздних версиях Windows, вы можете запретить пользователям шифровать свои файлы  двумя способами. Во-первых, выполнив команду fsutil behavior set disableencryption 1 вы можете отключить EFS на всех NTFS томах на вашем компьютере, поэтому при выполнении этой команды с помощью сценария входа, можно отключить EFS на компьютерах целевых пользователей.

А во-вторых, так как вышеуказанная  команда fsutil в конечном итоге нужна, чтобы изменить параметр реестра NtfsDisableEncryption, это значение типа  REG_DWORD находится в разделе HKLM\SYSTEM\CurrentControlSet\Control\FileSystem, это означает, что вы могли бы также создать пользовательский файл ADMX для развертывания такого изменения реестра при помощью групповой политики. Для получения дополнительной информации о том, как создать собственный файл ADMX, см. KB 918239

 

 

но не знаю насколько это дает толк, возможно речь лишь об инструментах шифрования самой системой

Изменено пользователем maximum
Ссылка на комментарий
Поделиться на другие сайты

не изменялись старые файлы целый год, а эти новые бац и изменились , в то время как была атака? Странно.

эти файлы изменяются каждый раз при завершении сеанса пользователем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...