Szeretné visszafejteni a fájlok visszafejtését. Hogyan védekezhet a wanna cry vírus ellen. Nem a Microsoft hibája. WannaCry – jaj a Microsoftnak vagy egy véletlen PR-nek. Ezt egyetlen vírusirtó sem tudja meggyógyítani.

Május 12-én, körülbelül 13 MSK-kor egy „bomba” robbant, és a Wana Decryptor vírus terjedni kezdett. Majdnem néhány óra alatt számítógépek tízezrei fertőződtek meg világszerte. A mai napig több mint 45 000 fertőzött számítógépet erősítettek meg.

A Wanna Cry ransomware vírussal fertőzöttek mind a hétköznapi felhasználók számítógépei, mind a különböző szervezetek – köztük az orosz belügyminisztérium – munkahelyi számítógépei.

Sajnos jelenleg nincs mód a WNCRY fájlok visszafejtésére, de megpróbálkozhat olyan programokkal, mint a ShadowExplorer és a PhotoRec.

Mi a helyes neve ennek a ransomware vírusnak: Wana Decryptor, WanaCrypt0r, Wanna Cry vagy Wana Decrypt0r?

A vírus első felfedezése óta sok különböző üzenet jelent meg a hálózaton erről a ransomware vírusról, és gyakran más néven is nevezik. Ez több okból történt. Mielőtt maga a Wana Decrypt0r vírus megjelent volna, megvolt az első verziója, a Wanna Decrypt0r, a fő különbség a jelenlegitől (2.0) a terjesztési mód volt. Ez az első lehetőség nem volt olyan széles körben ismert, mint az öccse, de ennek köszönhetően egyes hírek szerint új vírus A kriptográfust a bátyja nevén hívják, nevezetesen Wanna Cry, Wanna Decryptor.

Ennek ellenére a fő név a Wana Decrypt0r, bár a legtöbb felhasználó a „0” szám helyett az „o” betűt írja be, ami a Wana Decryptor vagy WanaDecryptor névhez vezet.

A felhasználók gyakran WNCRY vírusnak hívják ezt a titkosító vírust, vagyis a titkosított fájlok nevéhez hozzáadott kiterjesztéssel.

Hogyan hatol be a Wana Decryptor a számítógépedbe?

A Wana Decrypt0r ransomware gyors elterjedésének oka a Windows operációs rendszer SMB szolgáltatásában található sebezhetőség. Ez a biztonsági rés a Windows minden modern verziójában megtalálható, a Windows 7-től a Windows 10-ig. 2017. március 14-én megjelent az „MS17-010: Biztonsági frissítés Windows SMB Szerver" (link), de ahogy a vírus terjedési sebessége is mutatja, ez a frissítés nem minden számítógépre került telepítésre.

Ezért, ha még nem telepítette az MS17-010 frissítést, akkor azt a lehető leggyorsabban meg kell tennie! A Wana Decrypt0r őrült sebességgel terjed, és e javítás nélkül a számítógép teljesen nyitottá válik a fertőzésekre.

Hogyan titkosítja a WanaDecryptor a fájlokat a számítógépén?

Amikor a WNCRY elindul, a ransomware vírus először kicsomagolja a telepítőjét, amely a következő fájlokat tartalmazza:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taske.exe
u.wnry

Ezután kivesz egy váltságdíj-üzenetet az archívumból a számítógép-felhasználó által használt nyelven. A Wana Decrypt0r jelenleg a következő nyelveket támogatja:

bolgár, kínai (egyszerűsített), kínai (hagyományos), horvát, cseh, dán, holland, angol, filippínó, finn, francia, német, görög, indonéz, olasz, japán, koreai, lett, norvég, lengyel, portugál, román, Orosz, szlovák, spanyol, svéd, török, vietnami

Ezután a WanaCrypt0r vírus letöltése következik TOR böngésző, amely a ransomware vírusellenőrző szerverekkel való kommunikációra szolgál. Amikor ez a folyamat befejeződik, a vírus végrehajt egy parancsot, amellyel teljes hozzáférést biztosít az összes elérhető könyvtárhoz és fájlhoz. Erre azért van szükség, hogy a lehető legtöbb fájlt titkosítsa a fertőzött számítógépen.

A következő lépésben a WanaDecryptor leállítja a mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.* nevű folyamatokat, hogy titkosítsa a fertőzött számítógépen található összes adatbázist.

A fent leírt előkészítő szakaszok befejezése után a vírus magához a titkosítási folyamathoz lép. A folyamat a következő kiterjesztésű fájlokat titkosítja:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, . doc

Egyébként a kiterjesztések listája alapján, amely nem tartalmazza az Oroszországban népszerű 1C program kiterjesztését, arra a következtetésre juthatunk, hogy a vírust valószínűleg nem orosz programozók hozták létre.

Amikor egy fájl titkosítva van, a ".WNCRY" kiterjesztést adják hozzá a nevéhez. Azaz, ha a titkosítás előtt a fájl neve „picture.bmp”, akkor a titkosítás után a neve „picture.bmp.WNCRY”-re változik.

Amikor a könyvtárban lévő összes fájl titkosítva van, a ransomware vírus néhány további fájlt helyez el ugyanabba a könyvtárba, ez a @ [e-mail védett]— utasításokat tartalmaz a fájlok visszafejtéséhez és @ [e-mail védett]- titkosított fájlok dekódolója.

Munkája utolsó szakaszában a WanaDecryptor vírus megpróbálja eltávolítani az összes fájl árnyékmásolatát, és más módon visszaállítani a korábban titkosított fájlokat. Mivel ez a művelet teljes jogosultságot igényel, az operációs rendszer figyelmeztetést jelenít meg az UAC szolgáltatástól. Ha a felhasználó ezt megtagadja, a fájlok árnyékmásolatai nem törlődnek, és a titkosított fájlok teljesen ingyenesen visszaállíthatók. Ezt a felhasználók több üzenete is megerősíti a Kaspersky antivirus rajongói klub fórumán.

Hogyan lehet visszaállítani a WNCRY titkosított fájlokat?

Ahogy korábban említettük, a WanaDecryptor ransomware vírussal titkosított fájlok ingyenes visszaszerzésének egyetlen módja a speciális programok, mint például a ShadowExplorer és a PhotoRec. Használatuk folyamata részletesen le van írva ebben a kézikönyvben.

Ha kérdése van, vagy segítségre van szüksége, létrehozhat új témát fórumunkon, vagy megjegyzést írhat alább.

Hogyan lehet megakadályozni, hogy számítógépét megfertőzze a Wana Decryptor ransomware vírus?

Először be kell zárnia a sebezhetőséget operációs rendszer az MS17-010 frissítés telepítésével, amelyre mutató hivatkozást a cikk elején talál. Ha nem lehetséges a frissítés telepítése, akkor tiltsa le az SMBv1 protokoll használatát (Hogyan engedélyezze és tiltsa le az SMBv1-et, link), vagy blokkolja a bejövő kapcsolatokat a tűzfal 445-ös portjára.

A teljes számítógépvédelem megszervezéséhez legalább ingyenes vírusirtó(lásd ezt a cikket) és egy kártevő-elhárító programot (lásd ezt a cikket). Javasoljuk a Zemana Anti-malware vagy Malwarebytes használatát. Teljes verziók Ezek a programok egy további modult is tartalmaznak, amely blokkolja a ransomware vírusok elindítását.

Egy új titkosító vírus, a WannaCry (más néven Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) hulláma söpört végig a világon, amely számítógépen titkosítja a dokumentumokat, és 300-600 USD-t kicsikar ezek dekódolásáért. Hogyan állapítható meg, hogy a számítógépe fertőzött? Mit kell tenned, hogy ne válj áldozattá? És mit kell tenni a gyógyulás érdekében?

A frissítések telepítése után újra kell indítania a számítógépet.

Hogyan lehet felépülni a Wana Decrypt0r ransomware vírusból?

Amikor a víruskereső segédprogram vírust észlel, vagy azonnal eltávolítja, vagy megkérdezi, hogy kezelje-e vagy sem? A válasz a kezelés.

Hogyan lehet visszaállítani a Wana Decryptor által titkosított fájlokat?

Jelenleg nem tudunk semmi megnyugtatót mondani. Még nem jött létre fájl visszafejtő eszköz. Egyelőre csak meg kell várni, amíg a visszafejtőt kifejlesztik.

Brian Krebs, a téma szakértője szerint számítógépes biztonság, jelenleg a bűnözők mindössze 26 000 USD-t kaptak, vagyis csak körülbelül 58 ember vállalta, hogy kifizeti a váltságdíjat a zsarolóknak. Senki sem tudja, hogy visszaállították-e az irataikat.

Hogyan lehet megállítani a vírus terjedését az interneten?

A WannaCry esetében a probléma megoldása a 445-ös port blokkolása lehet a tűzfalon ( tűzfal), amelyen keresztül a fertőzés megtörténik.

Néhány egyszerű lépéssel megpróbálhatja eltávolítani a WannaCry vírust, hogy visszaállítsa a számítógépéhez való normál hozzáférést.

1. Töltse le az Rkill programot, és futtassa.
2. A program leállítja az összes aktív rosszindulatú folyamatot.
3. FONTOS: Ettől a pillanattól kezdve az útmutatóban leírt lépések végéig ne indítsa újra a számítógépet. Ellenkező esetben a folyamatok rosszindulatú program is újraindul.
4. Letöltés Avira vírusirtóés telepítse a számítógépére. Amikor a telepítés után a program az operációs rendszer újraindítását kéri, udvariasan utasítsa el.
5. Futtasson teljes víruskeresést a számítógépén, és várja meg, amíg az Avira elvégzi a feladatát. Ez eltarthat egy ideig.
6. Ha szükséges, helyezze karanténba az összes észlelt vírust.
7. Töltse le és telepítse a Malwarebytes Anti-Malware programot. Azt is tiltsa meg neki, hogy a telepítési folyamat befejezése után újraindítsa a számítógépet.
8. A beállításokban az „Érzékelés és védelem” lapon aktiválja a „Rootkit ellenőrzések” elemet.
9. Ezután futtassa a rendszer teljes vizsgálatát, és várja meg, amíg a Malwarebytes a folyamat befejeződését jelenti.
10. Minden „leletet” helyezzen karanténba.
11. Most indítsa újra a számítógépet, és indítsa újra a Malwarebytes-t. Ezt követően a számítógépének vírusmentesnek kell lennie.

Eltávolítjuk a WannaCry vírust és visszafejtjük az adatokat – működni fog?

Jelenleg nem lehetséges a vírus által titkosított adatok visszafejtése. Ha azonban türelmes, jó esély van arra, hogy visszanyerje a hozzáférést az adataihoz.

Korábban a legtöbb ransomware programhoz fejlesztettek ki úgynevezett fájldekódolókat (más néven decryptorokat, decryptorokat).

Ahogy a neve is sugallja, a fájlok visszafejtésére és a bennük lévő adatok visszaállítására szolgálnak.

Azonban eltarthat egy ideig, amíg valami hasonlót kifejlesztenek a WannaCry számára. Tehát legyen türelmes, és várjon egy kicsit a formázással merevlemez.

Itt elmondjuk, hogyan védekezhet a ransomware ellen, és mely vírusirtó programok a legjobbak.

Fénykép: gyártó cégek, Pixabay

Olvasási idő: 9 perc. Megtekintések 106 Közzétéve 2017.05.31

Sziasztok mindenkinek! A közelmúltban az internetet egy olyan esemény kavarta fel, amely számos cég és magánfelhasználó számítógépét érintette. Mindez a Wanna Cry vírus megjelenésének köszönhető, amely rövid időn belül gyorsan behatolt és megfertőzött rengeteg számítógépet különböző országokban béke. Jelenleg a vírus terjedése mérséklődött, de nem állt meg teljesen. Emiatt a felhasználók rendszeresen esnek a csapdájába, és nem tudják, mit tegyenek, mivel nem minden víruskereső program képes semlegesíteni. Az előzetes adatok szerint a világon több mint 200 ezer számítógépet támadtak meg. Szeretnék vírust A Cry joggal tekinthető az idei év legkomolyabb fenyegetésének, és talán az Ön számítógépe kerül a következő útra. Ezért nézzük meg közelebbről, hogyan terjed ez a rosszindulatú kód, és hogyan küzdhetsz ellene.

Milyen gazember a Wanna Cry vírus?

„Vona régió”, ahogy az orosz felhasználók is hívják ez a vírus, egy olyan típusú rosszindulatú programra utal, amely trójaihoz hasonlóan megtelepszik a számítógépen, és pénzt kezd kicsikarni a PC-felhasználótól. Működésének elve a következő: a számítógép asztalán megjelenik egy banner, amely blokkolja a felhasználó összes munkáját, és felkéri, hogy küldjön egy fizetett SMS-t a blokkolás megszüntetésére. Ha a felhasználó megtagadja a pénz kifizetését, a számítógépen lévő információk titkosításra kerülnek a helyreállítás lehetősége nélkül. Általában, ha nem tesz semmit, búcsút mondhat a merevlemezen tárolt összes információnak.

Valójában a Wanna Cry vírus a vírusok, a zsarolóprogram-blokkolók csoportjába sorolható, amelyek időszakonként sok felhasználó idegeit borzolják.

Hogyan működik az új kártevő?

A számítógépre kerülve gyorsan titkosítja a merevlemezen található információkat.

Ezt követően egy speciális üzenet jelenik meg az asztalon, amelyben 300 USD-t kérnek a felhasználótól a fájlok visszafejtésére szolgáló programért. Ha a felhasználó sokáig gondolkodik és a pénz nem érkezik meg a speciális e-pénztárca Bitcoin, akkor a váltságdíj összege megduplázódik, és 600 dollárt kell fizetnie, ami körülbelül 34 000 ezer rubelt jelent a mi pénzünkkel, tisztességes összeg, nem?

Hét nap elteltével, ha a felhasználó nem küld jutalmat a fájlok visszafejtésére, a zsarolóprogram véglegesen törli ezeket a fájlokat.

A Wanna Cry vírus szinte mindenkivel működhet modern típusok fájlokat. Íme egy kis lista a veszélyeztetett bővítményekről: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4 , .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Amint láthatja, ebben a kis listában megtalálható az összes népszerű fájl, amelyet a vírus titkosíthat.

Ki a Wanna Cry vírus megalkotója?

Az Amerikai Egyesült Államok Nemzetbiztonsági Ügynöksége szerint korábban egy „Eternal Blue” nevű programkódot fedeztek fel, bár a kóddal kapcsolatos információkat személyes érdekek miatti felhasználás céljából rejtettek el. A hackerközösség már idén áprilisban közzétett információkat erről a visszaélésről.

Valószínűleg a nyert él alkotója használt ezt a kódot nagyon hatékony vírust írni. Jelenleg még nem sikerült megállapítani, hogy ki a zsarolóprogram fő szerzője.

Hogyan terjed és kerül a számítógépére a Wanna Cry vírus?

Ha még nem esett a Wanna Cry vírus csapdájába, akkor legyen óvatos. Leggyakrabban keresztül terjed e-maileket mellékletekkel.

Képzeljünk el egy ilyen helyzetet! Kapsz egy e-mailt, esetleg egy ismerőstől, amely hangfelvételt, videoklipet vagy fényképet tartalmaz A levél megnyitása után a felhasználó boldogan rákattint a mellékletre, nem veszi észre, hogy a fájl exe kiterjesztéssel rendelkezik. Azaz lényegében a felhasználó maga kezdi el telepíteni a programot, aminek következtében a számítógépes fájlok megfertőződnek és rosszindulatú kód letöltődik egy vírus, amely titkosítja az adatokat.

Figyel! Megfertőzheti számítógépét a Vona Krai blokkolóval, ha fájlokat tölt le a torrentkövetőkről, vagy személyes üzenetet kap közösségi hálózatok vagy hírnökök.

Hogyan védheti meg számítógépét a Wanna Cry vírustól?

Valószínűleg egy ésszerű kérdés merült fel a fejében: "Hogyan védekezhet a Wanna Cry vírus ellen?"

Itt több alapvető módszert tudok ajánlani:

• Mivel a Microsoft fejlesztői komolyan aggódtak a vírus akciói miatt, azonnal kiadtak egy frissítést a Windows operációs rendszer összes verziójához. Ezért, hogy megvédje számítógépét ettől a kártevőtől, sürgősen le kell töltenie és telepítenie kell egy biztonsági javítást;
• Gondosan figyelje, milyen leveleket kap e-mailben. Ha melléklettel ellátott levelet kap, akár egy ismerős címzetttől is, akkor ügyeljen a fájl kiterjesztésére. Semmilyen körülmények között ne nyissa meg a letöltött fájlokat a következő kiterjesztéssel: .exe; .vbs; .scr. A kiterjesztés álcázott is lehet, és így néz ki: avi.exe; doc.scr ;
• A vírusok karmaiba kerülés elkerülése érdekében engedélyezze a fájlkiterjesztések megjelenítését az operációs rendszer beállításainál. Ez lehetővé teszi, hogy megnézze, milyen típusú fájlokat próbál futtatni. A maszkolt fájlok típusa is jól látható lesz;
• Még maga az L telepítése sem menti meg a helyzetet, mivel a vírus az operációs rendszer sebezhetőségeit használja a fájlok eléréséhez. Ezért először telepítse a Windows összes frissítését, és csak ezután telepítse a ;
• Ha lehetséges, minden fontos adatot továbbítson ide külső kemény korong. Ez megóvja Önt az információvesztéstől;
• Ha a szerencse hátat fordított neked, és a Wanna Cry vírus hatása alá került, akkor, hogy megszabaduljon tőle, telepítse újra az operációs rendszert;
• Tartsa meg vírusadatbázisait telepített víruskeresők naprakész;
• Javaslom az ingyenes letöltését és telepítését Kaspersky segédprogram Anti-Ransomware. Ez a segédprogram lehetővé teszi számítógépének valós időben történő védelmét a különböző ransomware blokkolók ellen.

Windows javítás a Wanna Cry-től, hogy megóvja számítógépét a betegségektől.

Ha a számítógépén operációs rendszer van telepítve:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Telepítse ezt a javítást, letöltheti a Microsoft hivatalos webhelyén található hivatkozásról.

A Windows operációs rendszer összes többi verziója esetén elegendő az összes elérhető frissítés telepítése. Ezekkel a frissítésekkel bezárja a lyukakat a Windows biztonsági rendszerében.

A Wanna Cry vírus eltávolítása.

A zsarolóvírus „kint” eltávolításához próbálja meg a legtöbbet használni legjobb közművek rosszindulatú programok eltávolítása.

Figyel! Munka után víruskereső program, a titkosított fájlok nem kerülnek visszafejtésre. És valószínűleg el kell távolítania őket.

Lehetséges-e saját kezűleg visszafejteni a fájlokat a Wanna Cry után?

Általános szabály, hogy a zsarolóvírus-blokkolók, amelyek magukban foglalják a „szélén túl” is, 128 és 256 bites kulccsal titkosítják a fájlokat. Ugyanakkor minden számítógép kulcsa egyedi, és sehol nem ismétlődik. Ezért, ha otthon próbálja megfejteni az ilyen adatokat, az több száz évig tart.

Jelenleg egyetlen Wanna Cry dekóder sem létezik a természetben. Ezért a vírus futása után egyetlen felhasználó sem tudja visszafejteni a fájlokat. Ezért, ha még nem lett áldozata, javaslom, hogy ügyeljen a számítógép biztonságára, ha nem szerencsés, akkor több lehetőség is van a probléma megoldására:

• Fizesse ki a váltságdíjat. Itt pénzt ad saját kockázatára és kockázatára. Mivel senki sem garantálja, hogy a pénz elküldése után a program vissza tudja fejteni az összes fájlt;
• Ha a vírus nem kerülte meg a számítógépet, egyszerűen letilthatja merevlemezés tedd egy távoli polcra jobb időkig, amikor megjelenik a dekóder. Jelenleg nem létezik, de valószínűleg a közeljövőben megjelenik. Szeretnék elárulni egy titkot, hogy a visszafejtőket a Kaspersky Lab fejlesztette ki, és a No Ramsom webhelyen tette közzé;
• A licencelt Kaspersky antivirus felhasználói számára lehetőség van a Wanna Cry vírus által titkosított fájlok visszafejtésére;
• Ha nincs semmi fontos a számítógép merevlemezén, akkor nyugodtan formázza meg, és telepítsen egy tiszta operációs rendszert;

Wanna Cry vírus Oroszországban.

Egy grafikont mutatok be, amely egyértelműen mutatja, hogy a területen a legtöbb számítógépet érintette a vírus Orosz Föderáció.

Valószínűleg ez azért történt, mert az orosz felhasználók nem különösebben szeretnek licencelt szoftvert vásárolni, és leggyakrabban használják kalózmásolatok Windows operációs rendszer. Emiatt a rendszer nem frissül, és továbbra is nagyon sebezhető a vírusokkal szemben.

Az ilyen számítógépeket a Wanna Cry vírus sem kímélte. Azt javaslom, hogy telepítse az operációs rendszer licencelt verzióját, és ne kapcsolja ki automatikus frissítés.

Egyébként nem csak a magánfelhasználók számítógépeit érintette a „Vona Krai” blokkoló, hanem olyan kormányzati szervezeteket is, mint a Belügyminisztérium, a Vészhelyzetek Minisztériuma, a Központi Bank, valamint olyan nagy magáncégek, mint pl. mint: operátor sejtes kommunikáció Megafon, Sberbank of Russia és Orosz Vasutak.

Ahogy fentebb mondtam, meg lehetett védeni magát a vírus behatolásától. Így még ez év márciusában a Microsoft kiadott Windows biztonsági frissítéseket. Igaz, nem minden felhasználó telepítette, ezért is estek csapdába.

Ha használ régi verzió operációs rendszert, akkor feltétlenül töltse le és telepítse a javítást, amelyről a fenti bekezdésben írtam.

Foglaljuk össze.

Mai cikkünkben az új Wanna Cry vírusról beszélgettünk. Igyekeztem a lehető legrészletesebben elmagyarázni, mi ez a kártevő, és hogyan védekezhet ellene. Ezenkívül most már tudja, honnan tölthet le egy javítást, amely bezárja a Windows biztonsági rendszerében lévő lyukakat.

Ha a számítógép rendelkezik operációs rendszerrel Windows rendszer nem indult újra, akkor a WannaCry vírus által igényelt váltságdíjat megkerülve menthetők rá az adatok. A megoldás kulcsa magában az operációs rendszerben rejlik – állítja a Quarkslab internetbiztonsági szakértője, Adrien Guinet, a világhírű hacker Matt Suiche és a szabadúszó Benjamin Delpy. A rendszer maga akadályozza meg a fájlok megsemmisülését a váltságdíj megfizetésének határideje után. Ezt a módszert mindenben alkalmazzák Windows verziók. Új eszköz az adatok mentésére hívták fel a szakértők a Wanakiwit. Az övében blog Matt Suish közzétette a pályázat részleteit nyílt módszer harcolni a vírus ellen, minden technikai részletet leírva.

Nem minden fájl helyreállítható

Ez megmagyarázza, miért vannak olyan állítások, hogy bizonyos eszközök állnak rendelkezésre a WannaCry által zárolt összes fájl visszafejtésére. Sajnos a zsarolóprogram működésére vonatkozó elemzésünkből úgy tűnik, hogy az eszköz csak néhány, demókulccsal titkosított fájlt tud visszafejteni.

De lehet, hogy van némi remény. Az Asztalon, a Saját dokumentumokban vagy bármely más helyen tárolt fájlok cserélhető meghajtók A számítógépet a fertőzés során véletlenszerűen generált adatokkal felülírják és törlik. Ez azt jelenti, hogy nem állíthatók vissza a Fájl- vagy Lemez-helyreállítással.

A rosszindulatú program esetleges gyengeségei miatt azonban lehetséges a rendszeren lévő más titkosított fájlok visszaállítása, ha azokat a lemez-helyreállító eszköz segítségével e három helyen kívül mentették, mivel a legtöbb fájl átkerül egy ideiglenes mappába, majd általában törli. de a takarító nem írja felül. A helyreállítási sebesség azonban ettől függően eltérő lehet különböző rendszerek, mert a törölt fájlt más lemezműveletek felülírhatják.

Röviden, lehetséges néhány olyan fájl visszaállítása, amelyeket WannaCrypttel titkosítottak, de nem fizették ki a váltságdíjat, azonban az összes fájl visszaállítása nélkül biztonsági mentés jelenleg lehetetlennek tűnik.

Biztonsági megjegyzésként ügyeljen minden olyan szolgáltatásra, amely az összes fájl stb. visszafejtését kínálja, mivel ezeket a visszafejtőket elrejthetik a rosszindulatú programok.

A fájl-helyreállítást a Disk Drill lemez-helyreállító eszközzel teszteltük, az alábbi képernyőképen láthatók az eszközzel észlelt és helyreállított törölt fájlok:

A zsarolóprogramok készítői néha hibákat követnek el a kódjukban. Ezek a hibák segíthetnek az áldozatoknak abban, hogy a fertőzés után visszanyerjék a hozzáférést a fájlokhoz. Cikkünk röviden ismerteti a WannaCry ransomware fejlesztői által elkövetett hibákat.

Hibák a fájltörlési logikában

Amikor a Wannacry titkosítja a fájlokat az áldozat számítógépén, akkor beolvassa az eredeti fájl tartalmát, titkosítja, és ".WNCRYT" kiterjesztésű fájlba menti. A titkosítási folyamat befejezése után a „.WNCRYT” kiterjesztésű fájlt „.WNCRY” fájlba helyezi át, és törli az eredeti fájlt. A törlés mögött meghúzódó logika az eredeti fájlok helyétől és tulajdonságaitól függően változhat.

Amikor fájlokat keres a rendszermeghajtón:

Ha a fájl egy „fontos” mappában található (a ransomware-fejlesztők szempontjából például az asztalon vagy a Dokumentumok mappában), akkor a törlés előtt véletlenszerű adatok kerülnek rá. Ebben az esetben nincs mód az eredeti fájl tartalmának visszaállítására.

Ha a fájl a "fontos" mappákon kívül van tárolva, az eredeti fájl a %TEMP%\%d.WNCRYT mappába kerül (ahol a %d egy numerikus érték). Egy ilyen fájl tartalmazza az eredeti adatokat, amelyekre semmi sem íródik - egyszerűen törlődik a lemezről. Ezért nagy a valószínűsége annak, hogy adat-helyreállító programokkal vissza lehet állítani.

Átnevezett eredeti fájlok, amelyek visszaállíthatók a %TEMP% könyvtárból

Fájlok keresésekor más (nem rendszer-) meghajtókon:

• A ransomware létrehozza a „$RECYCLE” mappát, és beállítja a „rejtett” és a „rendszer” attribútumot. Ennek eredményeként a mappa láthatatlanná válik Windows Intéző, ha az Intéző konfigurációja alapértelmezettre van állítva. A terv szerint az eredeti fájlok titkosítás után ebbe a mappába kerülnek.

Eljárás, amely meghatároz egy ideiglenes könyvtárat az eredeti fájlok tárolására a törlés előtt

• A ransomware kód szinkronizálási hibái miatt azonban az eredeti fájlok sok esetben ugyanabban a könyvtárban maradnak, és nem kerülnek át a $RECYCLE mappába.
• Az eredeti fájlok nem törlődnek biztonságosan. Ez a tény lehetővé teszi a helyreállítást törölt fájlok adathelyreállító programok segítségével.

Eredeti fájlok, amelyek visszaállíthatók egy nem rendszermeghajtóról

Eljárás, amely létrehoz egy ideiglenes elérési utat az eredeti fájlhoz

A fent leírt eljárásokat meghívó kódrész

Hiba az írásvédett fájlok feldolgozásakor

A WannaCry elemzése során azt is felfedeztük, hogy a zsarolóprogramnak hibája volt az írásvédett fájlok feldolgozásakor. Ha vannak ilyen fájlok a fertőzött számítógépen, a ransomware egyáltalán nem titkosítja azokat: minden ilyen fájlról titkosított másolatok készülnek, maguk az eredeti fájlok pedig csak a „rejtett” attribútumot kapják meg. Ebben az esetben könnyen megtalálhatók és visszaállíthatók normál tulajdonságaikra.

Az eredeti írásvédett fájlok nincsenek titkosítva, és nem helyezik át sehova

Következtetések

Ennek a zsarolóprogramnak a mélyreható tanulmányozása során világossá válik, hogy a fejlesztők sok hibát követtek el, és a kód minősége meglehetősen alacsony, amint azt fentebb megjegyeztük.

Ha a számítógépét megfertőzte a WannaCry ransomware, akkor jó eséllyel vissza tudja állítani a titkosított fájlokat. Ehhez használhatja ingyenes közművek fájlok helyreállításához.