Как вылечить компьютер от вируса wannacry
О вирусах-вымогателях в криптосообщества активно заговорили в мае 2017 года. В это время вирус WannaCry быстро распространился по компьютерным сетям. Он заражали компьютеры на Windows, шифровал файлы на жестком диске ПК, а затем требовал выкуп в биткоинах за засшифровку.
Это краткий принцип действия шифровальщиков. В этой статье разберемся, что такое WannaCry, как лечить зашифрованные компьютеры и что рассказывает source code вируса.
Каналы заражения
Есть два термина: «вымогатель» и «шифровальщик». Это описывает функцию вредоносного ПО, которая заключается в вымогательстве денег за расшифровку файлов. Вирус должен получить доступ к файлам или системе. Это происходит посредством заражения или векторов атаки.
Технически, вектор атаки или заражения — это средство, с помощью которого вымогатели получают доступ. Самые популярные:
- прикрепленный файл на бизнес-почту (резюме, инвойсы, приглашения),
- сообщения в соцсетях с вложениями,
- всплывающие окна с различными «подсказками», которые в итоге ведут к заражению.
Феномен WannaCry
Несколько факторов привлекли внимание к WannaCry. В первую очередь из-за того, что он заразил крупнейшие компании. В их числе Британская национальная служба здравоохранения. Вирус-шифровальщик эксплуатировал уязвимость Windows, которая была впервые обнаружена Агентством национальной безопасности США. Symantec и другие исследователи безопасности связывали его с Lazarus Group — организацией, которая занимается киберпреступностью и может быть связана с правительством Северной Кореи.
Как создан WannaCry и другие шифровальщики?
WannaCry Ransomware состоит из нескольких компонентов. Он попадает на зараженный компьютер в форме дроппера. Это отдельная программа, которая извлекает встроенные в нее компоненты приложения. Эти компоненты включают в себя:
- приложение, которое шифрует и дешифрует данные,
- файлы, содержащие ключи шифрования,
- копию Tor.
Исходный код несильно запутан, так что его смогли проанализировать специалисты по безопасности. После запуска шифровальщик WannaCry пытается получить доступ к жестко запрограммированному URL (так называемая «Кнопка уничтожения»). Если ему не удается, он продолжает поиск и шифрование файлов. Он шифрует множество форматов, от файлов Microsoft Office до MP3 и MKV. Файлы становятся недоступны для пользователя. Когда процесс завершен, вирус уведомляет о выкупе. WannaCry требовал 300 долларов в BTC за расшифровку файлов.
Как WannaCry выбирает компьютеры?
Вектор атаки для WannaCry более интересен, чем сам шифровальщик. Уязвимость, которую использует WannaCry, заключается в реализации Windows протокола SMB. Он помогает различным узлам сети взаимодействовать, а реализацию Microsoft можно обмануть специально созданными пакетами для выполнения любого кода.
Считается, что Агентство национальной безопасности США обнаружило эту уязвимость уже давно. Вместо того, чтобы сообщить общественности, оно разработало код под названием EternalBlue. Этот эксплойт, в свою очередь, был похищен группой хакеров. Shadow Brokers, название этой группы, создали пост 8 апреля 2017 на Medium (это сообщение полно политики, в нем заявлена позиция этой группы. Мы не будем переводить текст, там есть и отрывок про отношение к России, так как опасаемся, что это будет звучать экстремистски).
В Microsoft обнаружили уязвимость за месяц до этого и выпустили патч. Тем не менее это не помешало WannaCry, который опирался на EternalBlue, быстро распространиться по устройствам. После этого Microsoft обвинила правительство США, что оно не поделилось информацией об этой уязвимости раньше.
Даже если компьютер уже заражен, WannaCry не обязательно начнет шифрование файлов. Он сначала пытается получить доступ к очень длинному, бессмысленному URL, прежде чем приступить к работе. Если он получает доступ к этому домену, WannaCry отключается. Не совсем понятно, какова цель этой функции. Некоторые исследователи полагали, что создатели вредоносного ПО должны были остановить эту атаку. Тем не менее, Маркус Хатчинс, британский исследователь безопасности, который обнаружил этот URL, считает, что это должно затруднить анализ кода. Многие исследователи запускают вредоносное ПО в среде «песочницы», из которой любой URL или IP-адрес будет казаться доступным.
Хатчинс не только обнаружил жестко запрограммированный URL-адрес, но и заплатил 10,96 долларов и открыл там сайт. Это помогло замедлить распространение вредоносного ПО. Вскоре после того, как его признали героем, Хатчинс был арестован за то, что предположительно разрабатывал вирусы в 2014 году.
Symantec считают, что код вируса может иметь северокорейское происхождение. WannaCry бродил по сети в течение нескольких месяцев, прежде чем началась эпидемия. Это более ранняя версия вредоносного ПО, получившая название Ransom.Wannacry. Она использовала украденные учетные данные для запуска целевых атак. Использованные методы похожи на Lazarus Group.
Lazarus Group является хакерской группировкой, которая связана с Северной Кореей. В 2009 году они проводили DDoS-атаки на правительственные компьютеры Южной Кореи, затем атаковали Sony и банки.
Но так как исходный код вируса был открыт, нельзя точно приписать атаку кому-либо.
WannaCry source code
Немного технических деталей.
Имя вируса: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
Вектор: Все версии Windows до Windows 10 уязвимы, если не исправлены для MS-17-010.
Выкуп: от 300 до 600 долларов. В вирусе есть код для удаления файлов.
Backdooring: червь проходит через каждый сеанс RDP в системе, чтобы запустить вымогателя от имени этого пользователя. Он также устанавливает бэкдор DOUBLEPULSAR. Это делает восстановление труднее.
Kill switch: если сайт www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com доступен, вирус выходит вместо заражения хоста. Не будет работать, если есть прокси.
Каждое заражение генерирует новую пару ключей RSA-2048:
- Открытый ключ экспортируется как BLOB-объект и сохраняется в 00000000.pky.
- Закрытый ключ шифруется с помощью открытого ключа вымогателя и сохраняется как 00000000.eky
Каждый файл зашифрован с AES-128-CBC, с уникальным ключом AES на файл. Каждый ключ AES генерируется CryptGenRandom.
Ключ AES зашифрован с использованием пары ключей RSA, уникальной для каждого. Открытый ключ RSA, используемый для шифрования приватного ключа, встроен в DLL и принадлежит авторам вируса.
- https://haxx.in/key1.bin (pubkey, используемый для шифрования закрытого ключа пользователя)
- https://haxx.in/key2.bin (privkey для дешифрования dll)
- https://pastebin.com/aaW2Rfb6 и https://pastebin.com/xZKU7Ph1 — дадут больше информации о вымогателе.
Три адреса для выкупа жестко запрограммированы в программе:
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Как лечить WannaCry — патч
По иронии судьбы, патч, который защищает от WannaCry, был уже доступен до начала атаки. Microsoft в обновлении MS17-010, что вышло 14 марта 2017 года, исправил реализацию протокола SMB для Windows. Несмотря на критическое обновление, многие системы все еще не обновились до мая 2017 года. Больше повезло Windows 10, так как функция автоматического обновления сработала. То есть решение, как защититься от вируса-шифровальщика, уже было, но халатность на местах заставила компании поплатиться.
Для тех систем не было дешифровщика и выхода, кроме восстановления файлов из безопасной резервной копии. Хотя те, кто следит за кошельками биткоина, что указаны в сообщении от вируса, говорят, что некоторые платят выкуп. При этом мало доказательств того, что они вновь получили доступ к файлам.
Эта атака заставила Microsoft выпустить патч даже для XP, что поддержка прекращена. Большинство заражений было на Windows 7.
Отчет по безопасности: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Патч для защиты, в том числе для XP с 2014: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Killswitch: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Детали эксплойта: https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html
Продолжение на сайте
Источник
Массивная кибератака: WannaCry вымогатель заразил более 230, 000 компьютеров по всему миру
WannaCry вирус — это программа-вымогатель, которая использует EternalBlue эксплойт для заражения компьютеров, работающих под управлением операционной системы Microsoft Windows. Вымогатель также известен как WannaCrypt0r, WannaCryptor, WCry, и Wana Decrypt0r. Как только он попадает на целевой компьютер, он быстро шифрует все файлы и помечает их одним из следующих расширений: .wcry, .wncryt и .wncry.
Вирус делает данные бесполезными с помощью сильного шифрования, меняет обои для рабочего стола, создает записку о выкупе “Please Read Me!.txt” а затем запускает окно программы под названием “WannaDecrypt0r”, которое сообщает, что файлы на компьютере были зашифрованы. Вредоносная программа призывает жертву выплатить выкуп в размере от $300 до $600 в биткоинах и обещает удалить все файлы, если жертва не заплатит деньги в течении 7 дней.
Вредоносная программа удаляет теневые копии, чтобы предотвратить восстановление зашифрованных данных. Кроме того, вымогатель действует как червь, потому что как только он попадает на целевой компьютер, он начинает искать другие компьютеры, которые можно заразить.
Паразит использует лазейку безопасности в ОС Windows и быстро распространяется, используя инструменты общего доступа к файлам (такие как Dropbox или облачные диски общего доступа) без запроса разрешения жертвы сделать это. Поэтому, если вы подверглись кибер-атаке, вы должны как можно скорее удалить WannaCry, чтобы он не распространялся дальше.
Несмотря на то, что вирус обещает восстановить ваши файлы после оплаты, нет оснований доверять преступникам. Команда Bedynet.ru рекомендует удалять вымогатели в безопасном режиме с помощью драйверов сети, используя программы защиты от вредоносных программ, такие как Reimage Reimage Cleaner Intego.
Киберпреступники использовали этого вымогателя в массовой кибер-атаке, которая была запущена в пятницу, 12 мая 2017 года. Согласно последним сообщениям, злоумышленная атака успешно затронула больше 230 000 компьютеров в более чем 150 странах.
Воздействие кибератаки ужасно, так как вирус нацелен на организации из разных секторов, здравоохранение, похоже, страдает больше всего. Из-за нападения были приостановлены различные больничные услуги, например, были отменены сотни операций. Согласно сообщениям, первыми крупными компаниями, пострадавшими от этого выкупа, были Telefonica, Gas Natural и Iberdrola.
Некоторые из затронутых компаний имели резервные копии данных, в то время как другие сталкивались с трагическими последствиями. Без исключения, всем жертвам рекомендуется как можно скорее удалить WannaCry, так как это может помочь предотвратить дальнейшее распространение вымогателя.
WannaCry распространяется, используя EternalBlue эксплойт
Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.
Атака EternalBlue нацелена на Windows CVE-2017-0145 уязвимость в Microsoft протоколе SMB (Server Message Block). Уязвимость уже исправлена, сообщается в бюллетене по безопасности Microsoft MS17-010 (выпущенном 14 мая 2017 г.). Эксплойт-код, используемый исполнителями, предназначался для заражения устаревших систем Windows 7 и Windows Server 2008, но, по сообщениям, пользователи Windows 10 не могут быть затронуты этим вирусом.
Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:
- Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
- Следите за обновлениями остальных компьютерных программ.
- Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами.
- Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса.
- Отключите SMBv1, используя инструкции, предоставленные Microsoft.
Версии WannaCry
Вирус файл-расширение .wcry. Считается, что это первая версия печально известного вымогателя. Впервые, она была обнаружена в начале февраля 2017 года, и поначалу этот вирус не был похож на тот, который мог превзойти самые распространенные вирусы, такие как Cryptolocker, CryptXXX или Cerber.
Вирус использует криптографический шифр AES-128 для надежной блокировки файлов, добавляет файл расширение .wcry к их именам и просит передать 0,1 биткойн в предоставленный виртуальный кошелек. Первоначально вредоносное ПО распространялось через спам письма электронной почты; Однако, конкретно этот вирус не принес много доходов для его разработчиков. Несмотря на то, что файлы, зашифрованные этим вымогателем, оказались невосстанавливаемыми без ключа дешифрования, разработчики решили обновить вредоносную программу.
Вирус-вымогатель WannaCrypt0r . Это еще одно название обновленной версии вымогателя. Новая версия выбирает уязвимости Windows как основной вектор атаки и зашифровывает все файлы, хранящиеся в системе за считанные секунды. Зараженные файлы могут быть распознаны через расширения, добавленные к имени файла сразу после оригинального имени файла — .wncry, wncryt или .wcry.
Невозможно восстановить поврежденные данные без резервных копий или закрытого ключа, созданного во время процесса шифрования данных. Обычно вирус требует $300, хотя он повышает цену выкупа $600, если жертва не заплатит деньги в течение трех дней.
Вирус-вымогательWannaDecrypt0r . WannaDecrypt0r — это программа, которую вирус запускает после успешного проникновения в целевую систему. Исследователи уже заметили версии Wanna Decryptor 1.0 и Wanna Decryptor 2.0, приближающиеся к жертвам.
Вредоносная программа отображает часы с обратным отсчетом, показывающие, сколько времени осталось, чтобы заплатить выкуп до тех пор, пока цена его не достигнет максимума, а также идентичные часы обратного отсчета, показывающие, сколько времени осталось до тех пор, пока вирус не удалит все данные с компьютера. Эта версия потрясла виртуальное сообщество 12 мая 2017 года, хотя спустя несколько дней его остановил исследователь безопасности, который носит имя MalwareTech.
Как удалить WannaCry и восстановить зашифрованные файлы?
Вам следует полагаться только на профессиональные методы удаления вируса WannaCry и не пытаться вручную удалить эту вредоносную программу. Вирус чрезвычайно опасен и использует сложные меры для распространения через всю компьютерную систему, а также заражает подключенные компьютеры и интеллектуальные устройства. Чем скорее вы отключите этот вирус, тем лучше, так что не теряйте больше времени.
Если у вас есть резервные копии данных, не спешите подключать их или копировать на зараженный компьютер. Для достижения наилучших результатов мы рекомендуем следовать этим рекомендациям по удалению WannaCry, предоставленным командой bedynet.ru.
Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.
Удалите WannaCry, используя Safe Mode with Networking
Чтобы удалить вирус WannaCry, следуйте приведенным ниже инструкциям и убедитесь, что ваш компьютер загружен в нужном режиме. Таким образом, вы отключите вирус и создадите правильную среду, чтобы запустить программного обеспечения для удаления вредоносных программ.
Windows 7 / Vista / XP
- Щелкните Start → Shutdown → Restart → OK.
- Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
- В списке выберите Safe Mode with Networking
Windows 10 / Windows 8
- В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
- Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
- Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.
Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage Reimage Cleaner Intego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление WannaCry.
Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.
Удалите WannaCry, используя System Restore
В случае, если метод 1 не поможет вам удалить паразита, мы настоятельно рекомендуем попробовать эту опцию.
ÐонÑÑ: ÐоÑÑÑановиÑе ваÑи даннÑе
Ð ÑководÑÑво, пÑедÑÑавленное вÑÑе, должно помоÑÑ Ð²Ð°Ð¼ ÑдалиÑÑ WannaCry Ñ Ð²Ð°Ñего компÑÑÑеÑа. ÐÐ»Ñ Ð²Ð¾ÑÑÑÐ°Ð½Ð¾Ð²Ð»ÐµÐ½Ð¸Ñ Ð·Ð°ÑиÑÑованнÑÑ Ñайлов, Ð¼Ñ ÑекомендÑем иÑполÑзоваÑÑ Ð¿Ð¾Ð´ÑобнÑÑ Ð¸Ð½ÑÑÑÑкÑиÑ, подгоÑовленнÑÑ ÑкÑпеÑÑами по безопаÑноÑÑи bedynet.ru.
ÐÑли Ð²Ñ Ð½Ðµ Ñ Ð¾ÑиÑе ÑÑаÑиÑÑ Ð¾Ñ 300 до 600 доллаÑов СШРи Ñ Ð²Ð°Ñ Ð½ÐµÑÑ ÑезеÑвнÑÑ ÐºÐ¾Ð¿Ð¸Ð¹ даннÑÑ , не ÑÑÑеÑÑвÑÐµÑ ÑпоÑоба воÑÑÑановиÑÑ ÑайлÑ, заÑиÑÑованнÑе ÑÑим гÑознÑм виÑÑÑом. ÐналиÑики вÑедоноÑнÑÑ Ð¿ÑогÑамм ÑабоÑаÑÑ Ð½Ð°Ð´ обÑазÑами виÑÑÑов, и Ð¾Ð´Ð½Ð°Ð¶Ð´Ñ Ð¾Ð½Ð¸ могÑÑ Ð¿ÑидÑмаÑÑ Ð¸Ð½ÑÑÑÑÐ¼ÐµÐ½Ñ Ð´ÐµÑиÑÑованиÑ; однако Ñакой Ð´ÐµÐ½Ñ Ð¼Ð¾Ð¶ÐµÑ Ð½Ð¸ÐºÐ¾Ð³Ð´Ð° не наÑÑÑпиÑÑ, поÑÐ¾Ð¼Ñ ÑÑо пÑакÑиÑеÑки невозможно оÑмениÑÑ Ð¿ÑоÑеÑÑ ÑиÑÑÐ¾Ð²Ð°Ð½Ð¸Ñ Ð±ÐµÐ· пÑава деÑиÑÑованиÑ. Ðо ÑÐµÑ Ð¿Ð¾Ñ Ð¼Ñ Ð¿Ñедлагаем вам попÑобоваÑÑ ÑледÑÑÑие ваÑианÑÑ Ð²Ð¾ÑÑÑÐ°Ð½Ð¾Ð²Ð»ÐµÐ½Ð¸Ñ Ð´Ð°Ð½Ð½ÑÑ :
ÐÑли ваÑи ÑÐ°Ð¹Ð»Ñ Ð·Ð°ÑиÑÑованнÑе WannaCry, Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе иÑполÑзоваÑÑ Ð½ÐµÑколÑко меÑодов, ÑÑÐ¾Ð±Ñ Ð²Ð¾ÑÑÑановиÑÑ Ð¸Ñ :
УÑÑановиÑе и запÑÑÑиÑе Data Recovery Pro
Data Recovery Pro Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð½ÑжнÑм инÑÑÑÑменÑом, еÑли Ð²Ñ Ñ Ð¾ÑиÑе воÑÑÑановиÑÑ ÑаÑÑÑ Ð·Ð°ÑиÑÑованнÑÑ Ñайлов. ÐдеÑÑ, как его иÑполÑзоваÑÑ.
- ÐагÑÑзиÑÑ Data Recovery Pro;
- СледÑйÑе Ñагам по Data Recovery УÑÑановиÑе и наÑÑÑойÑе пÑогÑÐ°Ð¼Ð¼Ñ Ð½Ð° ваÑем компÑÑÑеÑе;
- ÐапÑÑÑиÑе ее и пÑоÑканиÑÑйÑе Ð²Ð°Ñ ÐºÐ¾Ð¼Ð¿ÑÑÑÐµÑ Ð½Ð° ÑайлÑ, заÑиÑÑованнÑе WannaCry вÑмогаÑелем;
- ÐоÑÑÑановиÑе Ð¸Ñ .
ÐоиÑиÑе ÑемнÑе копии даннÑÑ
Ðногда даже наиболее ÑÑонÑеннÑе виÑÑÑÑ Ð¼Ð¾Ð³ÑÑ Ð½Ðµ вÑполниÑÑ Ð²Ñе заданиÑ, поÑÑÐ¾Ð¼Ñ ÐµÑли Ð²Ñ Ð´Ð¾ÑÑаÑоÑно ÑдаÑÐ½Ñ â виÑÑÑ Ð¼Ð¾Ð³ оÑÑавиÑÑ ÑемнÑе копии даннÑÑ Ð½Ð° ÑиÑÑеме. ЧÑÐ¾Ð±Ñ Ð½Ð°Ð¹Ñи Ð¸Ñ Ð¸ воÑÑÑановиÑÑ â ÑÑÑановиÑе ShadowExplorer.
- ÐагÑÑзиÑе Shadow Explorer (https://shadowexplorer.com/);
- СледÑйÑе наÑÑÑойкам Shadow Explorer, и ÑÑÑановиÑе ÑÑо пÑиложение на Ð²Ð°Ñ ÐºÐ¾Ð¼Ð¿ÑÑÑеÑ;
- ÐапÑÑÑиÑе пÑогÑÐ°Ð¼Ð¼Ñ Ð¸ зайдиÑе в менÑ, в веÑÑ Ð½ÐµÐ¼ левом ÑглÑ, ÑÑÐ¾Ð±Ñ Ð²ÑбÑаÑÑ Ð´Ð¸Ñк Ñ Ð²Ð°Ñими заÑиÑÑованнÑми даннÑми. Также пÑовеÑÑÑе, какие Ñам папки ;
- ÐÑавÑй ÑелÑок на папкÑ, коÑоÑÑÑ Ð²Ñ Ñ Ð¾ÑиÑе воÑÑÑановиÑÑ, и вÑбеÑиÑе âExportâ. Также, Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе вÑбÑаÑÑ ÐºÑда Ð²Ñ Ñ Ð¾ÑиÑе ÑÑо воÑÑÑановиÑÑ.
ÐеÑиÑÑовÑик WannaCry еÑе не доÑÑÑпен
ÐаконеÑ, Ðам вÑегда ÑледÑÐµÑ Ð¿Ð¾Ð´ÑмаÑÑ Ð¾ заÑиÑе Ð¾Ñ ÐºÑипÑо-пÑогÑамм-вÑмогаÑелей. ЧÑÐ¾Ð±Ñ Ð·Ð°ÑиÑиÑÑ ÐºÐ¾Ð¼Ð¿ÑÑÑÐµÑ Ð¾Ñ WannaCry и дÑÑÐ³Ð¸Ñ Ð¿Ð¾Ð´Ð¾Ð±Ð½ÑÑ Ð¿Ñиложений, иÑполÑзÑйÑе надежнÑÑ Ð°Ð½ÑиÑпионÑкÑÑ Ð¿ÑогÑаммÑ, ÑакÑÑ ÐºÐ°Ðº Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes
Источник