Wanna decryptor расшифровка. Восстановление файлов после вируса шифровальщика

Ситьюэйшн: Проблема

Наша компания «ЛАНИТ-Интеграция» участвовала в проекте у заказчика «н» – необходимо было опубликовать набор внутренних приложений для сотрудников, которые используют разнообразные устройства для доступа – от ноутбуков до планшетов. Все шло неплохо (т.е. действительно неплохо). Все было настроено, продемонстрировано заказчику, т.е. все были довольны. Но потом что-то пошло не так.

Во время подготовки к совещанию у ведущего менеджера не заработала визуализация на внутреннем портале, когда необходимо было продемонстрировать текущую загрузку сотрудников. Нам пришлось в срочном режиме мобилизоваться и решать проблему. Здесь стоит отметить, что сотрудники в компании заказчика используют не просто Sharepoint, Oracle и Битрикс, но и безудержно веселятся каждый по-своему в разных версиях, а команды разработчиков разбросаны по регионам и сфокусированы в большей степени на своих внутренних задачах.

В поисках источника проблемы мы протестировали все, что можно протестировать, и немного больше. Визуализация, как и правила публикации, работают в нормальном режиме. Не получалось сразу подключиться к «проблемному» ПК. Поскольку политиками информационной безопасности запрещен удаленный доступ, пришлось делать для нас исключение. Не составило большого труда выяснить, что загвоздка была в браузерном пристрастии конкретного пользователя. Здесь все достаточно прозаично: в фокусе тестировщиков оказались два браузера последних версий для последующей проверки на совместимость с порталом. Проблема в том, что разные пользователи испытывают нежные чувства к разным браузерам. И чувства эти редко разделяются разработчиками софта. В итоге выходит, что нововведения, прекрасно функционирующие в одной программе просмотра, абсолютно бесполезны при использовании другой: сотрудник их не находит и соответственно не применяет. Кровь и пот программистов потрачены зря, автоматизация бизнес-процессов – ноль.

Разумеется, проблема была решена при выявлении, но нас было не остановить, ибо мы решили продвинуться дальше и сфокусировались на следующих задачах:

• принять за корпоративный стандарт один браузер и проводить тестирование и разработку только с ним и под него;
• произвести интеграцию с внутренней ИТ-инфраструктурой;
• распространять настройки централизованно, чтобы все сотрудники не звали каждый раз «тыжпрограммистов».

Решение. Статус «В активном поиске»

Собрали рабочую команду. Решили начать с анализа рынка браузеров. Само собой, основным критерием для нас была популярность . Желательно, чтобы часть пользователей с браузером уже работала, ну или, на худой конец, о нем слышала. Согласно статистике OpenStat, liveinternet и Hotlog, лидеры десктопных обозревателей в рунете выглядят так:

• Google Chrome,
• Яндекс.Браузер,
• Safari,
• Mozilla Firefox,
• Opera,

От Safari отказались сразу: пользователей с маками у нас совсем не большинство. IE Edge тоже выкинули из списка, потому что у нас работает множество почитателей Windows 7 (no offence).

В общем, с участниками забега определились.

Мы взяли параметры, критичные для реализации идеи, и разбавили их приятными сердцу мелочами. В результате небольшого исследования у нас родилось следующее:

(Примеры бенчмарков: первый , второй).

Рынок браузеров уже достаточно зрелый, поэтому неудивительно, что их возможности пересекаются на 80-90%. Все по умолчанию предлагают автообновления, менеджер паролей и встроенную защиту при серфинге (проверка репутации веб-сайтов и загружаемых файлов на наличие зараженного контента). Все позволяют организовать достаточно удобный процесс администрирования для централизации и автоматического распространения как самого браузера на ПК, так его настроек. Поскольку мы заботимся об экономистах, маркетологах, юристах и бухгалтерах, нам это важно.

Поддержка ОС и разрядность нам также важна, поскольку в компаниях целый зоопарк компьютеров и ОС, начиная от Windows 7-10 и заканчивая отечественными разработками на базе Linux – AltLinux.

По результатам сравнения мы выделили двух аутсайдеров: Internet Explorer, поскольку, повторюсь, нам важна мультиплатформенность, и Opera, в которой поддерживается только разрядность х86.

В итоге до финиша дотянула вот эта тройка:

• Google Chrome,
• Mozilla Firefox,
• Яндекс.Браузер.

Далее следовал этап совещаний с коллегами, которые немного увлеклись (сейчас не об этом), но все же привнесли парочку качественно важных требований к корпоративному браузеру:

• интеграция с внутренними ресурсами, в том числе, интеграция поисковой строки с порталами;
• настройка на главной странице виджетов с ссылкой на определенные сервисы и сайты с учетом потребностей отдельных функциональных групп сотрудников (кастомизация под разноплановые отделы, да);
• брендирование браузера, раз уж речь идет про корпоративный стандарт.

Ситьюэйшн: Решение

Новые вводные несколько изменили положение вещей. Конечно, первая мысль, возникшая по итогам совещания, - создать собственное решение. От нее, больше к счастью, чем к сожалению, пришлось отказаться. Даже поверхностные прикидки по затратам человеко-часов с учетом загрузки на внешних проектах показали, что завершим мы разработку где-то в ближе к концу этого столетия.

С другой стороны, зачем изобретать колесо? Есть ведь уже готовые решения. Почему бы не доработать до корпоративного продукта именно их?

Целесообразность дальнейшей аналитики и сопоставления теперь уже непосредственно корпоративных решений браузеров стремится к нулю. Поскольку, по сути, наши критерии были указаны выше и скрупулезно разложены по полочкам, осталось понять, с какой командой разработчиков из тройки финалистов мы могли бы максимально продуктивно сработаться. Пара дней брейнсторминга не помогла. Но иногда, если упорно лежать в направлении мечты об идеальном корпоративном браузере, что-то произойдет. Так и случилось – в скором времени к нам постучался Яндекс со своим новым предложением.

Таким образом, решением нашей задачи стал продуктивный симбиоз: Яндекс.Браузер для организаций в нашей корпоративной версии позволяет осуществлять интеграцию с внутренними ресурсами, обеспечивать необходимый уровень безопасности, реализовывать индивидуальную настройку виджетов и использовать корпоративный стиль заказчика при оформлении.

С учетом скорости, с которой меняется законодательство, не исключено, что требование хранить данные на территории России скоро коснется не только государственных организаций, но и простых смертных. А посему то, что серверы, с которыми синхронизируется браузер, и откуда идет загрузка обновлений, располагаются на просторах нашей необъятной Родины, вообще не лишне. В любом случае, на данный момент - это единственный продукт подобного рода с открытым кодом, что позволяет его сертифицировать и рекомендовать для установки даже в организации с повышенным чувством долга перед Отечеством.

Добавим к этому наличие официальной поддержки, в которую может обратиться любой пользователь, даже не владеющий разговорным хиндиглийским: все специалисты говорят на чистом русском языке (T for Tolerance, но без обид). Это, кстати, большая редкость в наше время.
А потом настал час X – мы дружно засели собирать решение, начав с ИT-отдела и закрепив пройденное с бухгалтерией.

От Yandex нам достались чудесные msi-пакеты, для последующей доработки и распространения которых мы решили использовать Microsoft System Center, хотя никто не станет возражать, если они пойдут через групповые политики или тот же самый Altiris для Windows, а для Linux-систем - Ansible и Puppet. Никаких сложностей здесь возникнуть не должно, главное - соотнести их с функциональной группой (отделом, если угодно) и указать пару параметров.

Anyway, сначала нужно зайти на клиентский компьютер под учеткой (в данном случае) ИТ-специалиста, перейти на портал самообслуживания, где отобразится назначенное для этого пользователя приложение, готовое к установке.

После установки перед пользователем откроется настроенное табло с доступом к веб-интерфейсам консолей администратора, что включает систему мониторинга, виртуализации и т.д., а также базовый пакет с почтовой системой, внутренним порталом и Service Desk-ом. Как вы понимаете, для бухгалтера на место мониторинговых систем приходят MC Dynamics, 1C и прочие прелести.

Что касается синхронизации, то мы налинуксовали синхронизацию с Windows, Windows - Windows, Linux - Windows и Linux - Linux соответственно. На данный момент возможно синхронизировать все активные сессии (все те открытые табы, которые видны в специальном разделе меню «настроек», закладки, настройки, пароли, автозаполнение форм, темы, напечатанные URL (история, строго говоря), поиск по умолчанию, расширения и кое-что еще (саспенс и интрига). Локальную синхронизацию мы включаем отдельной политикой, в параметрах которой можно задать путь к папке с синхронизируемыми данными. Если включить данную политику, автоматически отключится возможность синхронизации с серверами Яндекса, как таковыми. И уже совсем другая политика отключает UI входа в синхронизацию с серверами Яндекса.

В принципе, на этом этапе можно закругляться, хотя нам есть еще что рассказать про включение локальной синхронизации, тонкости брендирования, компоновку тумб, сборку поискового сервиса, который ищет не только в интернете, но и во всех системах заказчика и многое другое. Так что, если вам это интересно, дайте знать - мы с радостью поделимся опытом и опишем решения в следующей статье.

Ждем ваши замечания (чуть меньше) и комментарии (чуть больше). Спасибо и всем кармы.

Статья написана вместе с

14.03.2017, ВТ, 11:00, Мск, Текст: Владимир Бахур

«Яндекс» представил Windows-версию своего веб-браузера для организаций с защитой Protect, поддержкой групповых политик и кастомизации.

Браузерная платформа корпоративного уровня

«Яндекс» выпустил новую версию своего браузера для организаций. Как рассказали CNews в компании, любая компания может установить на компьютеры сотрудников «Яндекс.Браузер» и настроить его под свои корпоративные нужды – самостоятельно или с помощью партнеров «Яндекса».

Первым системным интегратором, который будет устанавливать «Яндекс.Браузер», стала компания «ЛАНИТ-Интеграция» – подразделение группы компаний «Ланит» на базе департамента сетевой интеграции.

«В зависимости от предпочтений заказчика, партнеры «Яндекса» могут изменить внешний вид браузера, интегрировать его во внутренние системы организации и предустановить нужные расширения, например, для работы с бухгалтерской или складской программой, - отметил Дмитрий Тимко , руководитель проекта «Яндекс.Браузер». - Таким образом, сотрудники смогут переходить к нужным сервисам непосредственно из браузера».

Нынешняя корпоративная версия «Яндекс.Браузер» для организаций поддерживает операционную систему Windows (начиная от Windows XP Service Pack 3 и всех более поздних версий). Как пояснили CNews в «Яндексе», в планах компании также выпуск корпоративного браузера на других платформах, однако о точных датах анонсов пока говорить рано.

Базовый интерфейс «Яндекс.Браузера»

Безопасность и защита

Корпоративная версия «Яндекс.Браузера» оснащена технологией Protect, которая обеспечивает защиту сотрудников от угроз в интернете и позволяет обеспечить информационную безопасность в масштабах компании. Она блокирует опасные сайты и файлы, обеспечивает безопасность платежей, скрывает отталкивающую рекламу и защищает от кражи данных.

Технология Protect

Protect – это уникальная комплексная интегрированная технология активной защиты, интегрированная в браузер и обеспечивающая, среди прочего, защиту пользователей от вредоносных файлов, кражи паролей и многого другого. Protect умеет предупреждать о посещении уже известных опасных сайтов, при этом «черные списки» регулярно пополняются с помощью поисковых и антивирусных технологий «Яндекса» и доступны для сторонних разработчиков через API.

При переходе на сайт интернет-банка или платежного сервиса браузер включает более строгие настройки безопасности, отключает все дополнения, кроме доверенных, и меняет цвет интерфейса на более темный.

В случае, если пользователь оказался на сайте-подделке и, не заметив этого, пытается ввести пароль от онлайн-банка или аккаунта в социальной сети, система Protect немедленно отреагирует выводом предупреждения. Защита паролей работает в «Яндекс.Браузере» уже более года.

По словам Дмитрия Тимко, в настоящее время в Protect также встроена система антифишнга банковских карт с применением технологий искусственного интеллекта, машинного обучения и компьютерного зрения. «Яндекс.Браузер» напомнит о том, что не стоит вводить номера карт на сайтах без шифрования (на HTTP-сайтах без «замочка» в адресной строке) и предупредит о посещении подозрительных сайтов, которым не стоит доверять свои платежные данные.

Гибкие корпоративные политики

Корпоративная версия «Яндекс.Браузер» кастомизируется под нужды любой организации. Можно настроить фон, быстрый доступ к разным ресурсам, возможность установления расширений и многое другое. Например, для корпоративных пользователей будет полезным дополнением наличие электронной цифровой подписи.

Интерфейс настроек «Яндекс.Браузера»

Системный администратор компании с помощью гибких настроек политик может указать, какими данными браузер может обмениваться с внешними серверами, а какими нет.

«Корпоративный браузер удобен еще и тем, что системному администратору не нужно настраивать его на каждом рабочем месте, - отметил Дмитрий Тимко. - Управление происходит с помощью групповых политик - правил, которые распространяются на все компьютеры компании. Например, через групповые политики можно добавить в браузеры ссылки на полезные ресурсы или регулировать доступ к сайтам».

Планы развития корпоративной версии

В качестве ближайших планов развития «Яндекс.Браузера» для организаций, рассказал Дмитрий Тимко, планируется интегрировать в браузеры, работающие в компании, механизм синхронизации данных (настройки, списки закладок, табло) между устройствами сотрудника используя в качестве платформы обмена серверы компании-заказчика. Соблюдение таких правил – обычная политика информационной безопасности во многих компаниях.

Дмитрий Тимко также рассказал, что в перспективных планах развития браузера есть внедрение функции «умной строки» поиска, которая обеспечит поиск данных не только в интернете или истории просмотров, но также во внутренней базе знаний компании.

О проекте «Яндекс.Браузер»

Впервые «Яндекс.Браузер» был представлен в 2012 году. Сейчас это второй по популярности компьютерный браузер у россиян и первый среди непредустановленных браузеров на мобильных устройствах.

В феврале 2017 г. дневная аудитория «Яндекс.Браузер» составила 20 млн пользователей, при этом 7,5 млн из них пользуются мобильной версией. По данным за февраль, доля «Яндекс.Браузера» в России составляет 21% на компьютерах и 5% на мобильных устройствах.

Скачать базовую версию корпоративного «Яндекс.Браузера» с поддержкой групповых политик и системой Protect можно на сайте

Корпоративная версия браузера, созданная для организаций.

Специальная корпоративная версия Яндекс.Браузера, предназначенная для использования в организациях.

Рис. 1. Табло Яндекс.Браузер

Основным преимуществом новой сборки Яндекс.Браузера является возможность централизованно установить и настроить браузер во всей организации с помощью групповых политик - правил, которые распространяются на все компьютеры сети. Кроме того, возможно изменение внешнего вида браузера, интеграция его во внутренние системы организации и предустановка необходимых расширений.

Рис. 2. Умная строка

Рис. 3. Технология активной защиты Protect

Рис. 4. Настройки Яндекс Браузера

В дополнение, разработчики Яндекс.Браузера запустили сервис Конструктор , который позволяет быстро настроить корпоративную сборку браузера для организаций. При помощи Конструктора вы можете указать визуальные закладки, выбрать фон, включить/отключить ленту персональных рекомендаций Дзен, включить необходимые дополнения и скачать получившийся дистрибутив.

Браузер доступен для Windows XP Service Pack 3 и более поздних версий.

Недавно в центре интернета-безопасности 360 был обнаружен новый вид вируса –вымогателя, предназначенный как для предприятий, так и для частных лиц во многих странах и регионах. 360 выпустили своевременное предупреждение аварийной ситуации 12 мая после обнаружения, чтобы напомнить пользователям о предстоящих рисках. Эта вырус-вымогатель распространяется с высокой скоростью по всему миру. По неполным статистическим данным, всего за несколько часов после взрыва были заражены десятки тысяч устройств в 99 странах, и данный сетевой Червь все еще пытается расширить свое влияние.

Как правило, вирус-вымогатель- это вредоносная программа с явным намерением вымогательства. Он шифрует файлы жертвы с помощью асимметричного криптографического алгоритма, делает их недоступными и требует выкуп за их дешифрование. Если выкуп не выплачен, файлы не могут быть восстановлены. Этот новый вид известный под кодовым названием WanaCrypt0r. Что делает его настолько смертельным, что он использовал хакерский инструмент «EternalBLue», который был украден у АНБ. Это также объясняет, почему WanaCrypt0r способна быстро распространяться по всему миру и причинила большие потери за очень короткое время. После прорыва сетевого Черви 12 мая отдел Core Security в центре интернета-безопасности 360 провело тщательный мониторинг и глубокий анализ. Теперь мы можем выпустить набор средств обнаружения, решения защиты и восстановления данных против WanaCrypt0r.

360 Helios Team — команда APT (Advanced Persistent Attack), занимающаяся исследованиями и анализом отдела Core Security, в основном посвященная расследованию атаки APT и реагированию на инциденты угроз. Исследователи безопасности тщательно анализировали механизм вирусов, чтобы найти наиболее эффективный и точный метод восстановления зашифрованных файлов. Используя этот метод, 360 может стать первым поставщиком безопасности, который выпускает инструмент восстановления данных — «360 Ransomware Infected File Recovery», чтобы помочь своим клиентам быстро и полностью восстановить зараженные файлы. Мы надеемся, что эта статья поможет вам разобраться в трюках этого червя, а также в более широком обсуждении вопроса о восстановлении зашифрованных файлов.

Глава 2 Анализ основных процессов шифрования

Этот Червь выдает модуль шифрования в память и напрямую загружает DLL в память. Затем DLL экспортирует функцию TaskStart, которая должна использоваться для активации целого процесса шифрования. DLL динамически получает доступ к файловой системе и функциям API, связанным с шифрованием, чтобы избежать статического обнаружения.

1.Начальная стадия

Сначала он использует «SHGetFolderPathW», чтобы получить пути к папкам рабочего стола и файла. Затем он вызовет функцию «10004A40», чтобы получить путь к рабочим столам других пользователей и папкам с файлами и вызвать функцию EncrytFolder для шифрования папок отдельно.

Он проходит все диски дважды от драйвера Z до C. Первое сканирование — запуск всех локальных дисков (за исключением драйвера-CD). Во втором сканировании проверяет все мобильные накопители и вызывает функцию EncrytFolder для шифрования файлов.

2.Файловый траверс

Функция «EncryptFolder» является рекурсивной функцией, которая может собирать информацию о файлах, следуя приведенной ниже процедуре:

Удалите пути или папки с файлами во время поперечного процесса:

Есть интересная папка с названием «Эта папка защищает от вируса-вымогателя. Изменение его уменьшит защиту «. Когда вы это сделаете, вы обнаружите, что он соответствует папке защиты программного обеспечения для защиты от вируса-вымогателя.

При обходе файлов вирус-вымогатель собирают информацию о файле, такую как размер файлов, а затем классифицируют файлы на разные типы в соответствии с их расширением, следуя определенным правилам:

Список типов расширений 1:

Список типов расширений 2:

3.Приоритет шифрования

Чтобы зашифровать важные файлы как можно быстрее, WanaCrypt0r разработал сложную очередь приоритетов:

Очередь приоритетов:

I.Шифруйте файлы типа 2, которые также соответствуют списку расширений 1. Если файл меньше 0X400, приоритет шифрования будет снижен.
II. Шифруйте файлы типа 3, которые также соответствуют списку расширений 2. Если файл меньше 0X400, приоритет шифрования будет снижен.
III. Шифруйте остальные файлы (меньше 0х400) и другие файлы.

4.Логика шифрования

Весь процесс шифрования завершается с использованием как RSA, так и AES. Хотя в процессе шифрования RSA используется Microsoft CryptAPI, код AES статически компилируется в DLL. Процесс шифрования показан на рисунке ниже:

Список используемых ключей:

Формат файла после шифрования:

Обратите внимание, что во время процесса шифрования вирус-вымогатель будет случайным образом выбирать некоторые файлы для шифрования, используя встроенный открытый ключ RSA, чтобы предложить несколько файлов, которые жертвы могут расшифровать бесплатно.

Путь к свободным файлам может найдена в файле «f.wnry».

5.Заполнение случайных чисел

После шифрования WanaCrypt0r будет заполнять файлы, которые он сочтет важными со случайными числами, пока полностью не разрушит файл, а затем переместите файлы во временный каталог файлов для удаления. Делая это, он делает это довольно трудным для инструментов восстановления файлов для восстановления файлов.В то же время он может ускорить процесс шифрования.

Заполненные файлы должны соответствовать следующим требованиям:

— В указанном каталоге (рабочий стол, мой документ, папка пользователя)

— Файл меньше 200 МБ

— Расширение файла находится в списке типов расширений 1

Логика заполнения файла:

— Если файл меньше 0x400, он будет покрыт случайными числами одинаковой длины

— Если файл больше 0x400, последний 0x400 будет покрыт случайными числами

— Переместите указатель файла на заголовок файла и установите 0x40000 в качестве блока данных, чтобы покрыть файл случайными числами до конца.

6.Удаление файлов

WanaCrypt0r сначала переместит файлы во временную папку для создания временного файла, а затем удалит его различными способами.

Когда он проедет диски для шифрования файлов, он создаст временный файл с именем в формате «$ RECYCLE + auto increment + .WNCYRT» (например: «D: \ $ RECYCLE \ 1.WNCRYT») на текущем диске. Особенно, если текущий диск является системным (например, драйвер-C), он будет использовать временный каталог системы.

Впоследствии процесс запускает taskdl.exe и удаляет временные файлы с фиксированным интервалом времени.

Глава 3 Возможность восстановления данных

В анализе логики его выполнения мы заметили, что этот Червь перезапишет файлы, удовлетворяющие заданным требованиям, случайными числами или 0x55, чтобы уничтожить файловые структуры и предотвратить их восстановление. Но эта операция принимается только для определенных файлов или файлов с определенным расширением. Это означает, что есть еще много файлов, которые не были переписаны, что оставляет место для восстановления файлов.

В процессе удаления червь перемещал исходные файлы во временную папку файлов, вызывая функцию MoveFileEx. В конце концов временные файлы удаляются массово. Во время вышеописанного процесса исходные файлы могут быть изменены, но текущее программное обеспечение восстановления данных на рынке не знает об этом, так что довольно много файлов не может быть восстановлено успешно. Потребности в файлах для восстановления жертв почти не реализоваться.

Для других файлов червь просто выполнил команду «move & delete». Поскольку процессы удаления файлов и перемещения файлов разделены, эти два потока будут конкурировать друг с другом, что может привести к сбою при перемещении файлов из-за различий в системной среде пользователя. В результате файл будет удален непосредственно в текущем местоположении. В этом случае существует большая вероятность того, что файл может быть восстановлен.

https://360totalsecurity.com/s/ransomrecovery/

Используя наши методы восстановления, большой процент зашифрованных файлов может быть прекрасно восстановлен. Теперь обновленная версия 360 инструмента восстановления файлов была разработана в ответ на эту потребность, чтобы помочь десяткам тысяч жертв смягчить потери и последствия.

14 мая, 360 — первый поставщик безопасности, выпустивший инструмент восстановления файлов, которое спас много файлов от вируса-вымогателя. Эта новая версия сделала еще один шаг в использовании логических уязвимостей WanaCrypt0r. Он может удалить вирус, чтобы предотвратить дальнейшее заражение. Используя несколько алгоритмов, он может найти скрытые связи между бесплатными восстанавливаемыми файлами и расшифрованнымифайлами для клиентов. Эта универсальная служба восстановления может уменьшить ущерб от атаки вируса-вымогателя и защитить безопасность данных пользователей.

Глава 4 Заключение

Массовая вспышка и распространение Черви WannaCry с помощью использования MS17-010,что делает его способным к саморепликации и активному распространению, помимо функций общей вымогателя. Если не учитывать полезную нагрузку атаки, техническая структура вируса-вымогателя играет самую важную роль в атаках.Вирус-вымогателя шифрует ключ AES с помощью асимметричного криптографического алгоритма RSA-2048. Затем каждый файл зашифровывается с помощью случайного AES-128 алгоритма симметричного шифрования. Это означает,полагаясь на существующие вычисления и методы, что расшифровать RSA-2048 и AES-128 без каких-либо открытых или закрытых ключей почти невозможно. Однако авторы оставляют некоторые ошибки в процессе шифрования, что обеспечивает и увеличивает возможность восстановления. Если действия выполняются достаточно быстро, большинство данных можно сохранить обратно.

Кроме того, поскольку деньги на выкуп выплачиваются в анонимных биткойнах, для которых кто-либо может получить адрес без подлинной сертификации, невозможно идентифицировать злоумышленника по адресам, не говоря уже о том, что между различными учетными записями одного и того же Адрес владельца. Поэтому, из-за принятия нерушимого алгоритма шифрования и анонимных биткойнов, весьма вероятно, что этот вид прибыльной вспышки вируса-вымогателя продолжится в течение долгого времени. Все должны быть осторожны.

360 Helios Team

360 Helios Team — исследовательская команда APT (Advanced Persistent Attack) в Qihoo 360.

Команда посвящена расследованию атак APT, реагированию на инциденты угроз и исследованиям промышленных цепей подпольной экономики.

С момента создания в декабре 2014 года, команда успешно интегрировала огромную базу данных 360 и создала быструю процедуру реверсирования и корреляции. К настоящему времени было обнаружено и выявлено более 30 APT и групп подпольой экономики.

360 Helios также предоставляет решения для оценки угроз и реагирования на угрозы для предприятий.

Публичные отчеты

Контакт
Эл. Почта: [email protected]
Группа WeChat: 360 Helios Team
Пожалуйста, скачайте QR-код ниже, чтобы следить за нами на WeChat!

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

WannaCry – что это такое и как от него защититься

Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.

Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.

Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows, которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.

Вирус работает по следующей схеме — вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.

Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.

Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года .

Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система. Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.

Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб. Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую — избавиться от Wanna Decryptor не так просто.

Один из самых простых способов вылечить вирус – это просто переустановить систему. При этом, вы потеряете не только те данные, которые были на диске с установленной системой. Ведь для полного выздоровления нужно будет провести форматирование всего жесткого диска. Если вы не готовы на такие кардинальные шаги, то можно попробовать вылечить систему вручную:

1. Скачайте обновление для системы, о котором писалось выше в статье.
2. Далее отключаемся от интернета
3. Запускаем командную строку cmd и блокируем 445 порт, по которому вирус проникает на компьютер. Делается это следующей командой:
   netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
4. Далее запускаем систему в безопасном режиме. При загрузке удерживаем F8, система сама спросит вас, как именно запустить компьютер. Нужно выбрать «Безопасный режим».
5. Находим и удаляем папку с вирусом, найти ее можно кликнув по ярлыку вируса и нажав «Расположение файла».
6. Перезапускаем компьютер в обычном режиме и устанавливаем обновление для системы которое мы скачали, включаем интернет и устанавливаем его.

Wanna cry – как расшифровать файлы

Если вы полностью избавились ото всех проявлений вируса, то самое время заняться расшифровкой данных. И, если вы думаете, что самое сложное позади, то вы сильно ошибаетесь. В истории даже зарегистрирован случай, когда сами создатели шифровальщика не смогли помочь пользователю, который им заплатил и отправили его в службу технической поддержки антивируса.

Оптимальный вариант – это удалить все данные и . Вот только, если такой копии нет, то придется покорпеть. А помогут вам программы дешифровщики. Правда, ни одна программа не может гарантировать стопроцентный результат.

Существует несколько простых программ, которые могут справиться с расшифровкой данных — например Shadow Explorer или Windows Data recovery. Так же стоит заглянуть в лабораторию Касперского, который периодически выпускает декрипторы — http://support.kaspersky.ru/viruses/utility

Очень важно! Запускайте программы декрипторы только после того, как удалили все проявления вируса, иначе рискуете навредить системе или потерять данные снова.

Wanna decryptor показал, насколько хрупкой может быть система безопасности любого крупного предприятия или даже государственного учреждения. Так что май месяц стал показательным для многих стран. Кстати, в МВД России пострадали только те машины, которые использовали Windows, а вот те компьютеры, на которых стояла операционная система российской разработки Эльбрус не пострадали.

А какие способы лечения Wanna decryptor помогли вам? Напишите комментарий к этой статье и поделитесь с другими.

Подпишись на новые статьи, что бы не пропустить!