Как вылечить вирус wannacry

Массивная кибератака: WannaCry вымогатель заразил более 230, 000 компьютеров по всему миру 

WannaCry вирус — это программа-вымогатель, которая использует EternalBlue эксплойт для заражения компьютеров, работающих под управлением операционной системы Microsoft Windows. Вымогатель также известен как WannaCrypt0r, WannaCryptor,  WCry, и Wana Decrypt0r. Как только он попадает на целевой компьютер, он быстро шифрует все файлы и помечает их одним из следующих расширений: .wcry, .wncryt и .wncry.

Вирус делает данные бесполезными с помощью сильного шифрования, меняет обои для рабочего стола, создает записку о выкупе “Please Read Me!.txt” а затем запускает окно программы под названием “WannaDecrypt0r”, которое сообщает, что файлы на компьютере были зашифрованы. Вредоносная программа призывает жертву выплатить выкуп в размере от $300 до $600 в биткоинах и обещает удалить все файлы, если жертва не заплатит деньги в течении 7 дней.

Вредоносная программа удаляет теневые копии, чтобы предотвратить восстановление зашифрованных данных. Кроме того, вымогатель действует как червь, потому что как только он попадает на целевой компьютер, он начинает искать другие компьютеры, которые можно заразить.

Паразит использует лазейку безопасности в ОС Windows и быстро распространяется, используя инструменты общего доступа к файлам (такие как Dropbox или облачные диски общего доступа) без запроса разрешения жертвы сделать это. Поэтому, если вы подверглись кибер-атаке, вы должны как можно скорее удалить WannaCry, чтобы он не распространялся дальше.

Несмотря на то, что вирус обещает восстановить ваши файлы после оплаты, нет оснований доверять преступникам. Команда Bedynet.ru рекомендует удалять вымогатели в безопасном режиме с помощью драйверов сети, используя программы защиты от вредоносных программ, такие как ReimageIntego.

Киберпреступники использовали этого вымогателя в массовой кибер-атаке, которая была запущена в пятницу, 12 мая 2017 года. Согласно последним сообщениям, злоумышленная атака успешно затронула больше 230 000 компьютеров в более чем 150 странах.

Воздействие кибератаки ужасно, так как вирус нацелен на организации из разных секторов, здравоохранение, похоже, страдает больше всего. Из-за нападения были приостановлены различные больничные услуги, например, были отменены сотни операций. Согласно сообщениям, первыми крупными компаниями, пострадавшими от этого выкупа, были Telefonica, Gas Natural и Iberdrola.

Некоторые из затронутых компаний имели резервные копии данных, в то время как другие сталкивались с трагическими последствиями. Без исключения, всем жертвам рекомендуется как можно скорее удалить WannaCry, так как это может помочь предотвратить дальнейшее распространение вымогателя.

WannaCry распространяется, используя EternalBlue эксплойт

Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.

Атака EternalBlue нацелена на Windows CVE-2017-0145 уязвимость в Microsoft протоколе SMB (Server Message Block). Уязвимость уже исправлена, сообщается в бюллетене по безопасности Microsoft MS17-010 (выпущенном 14 мая 2017 г.). Эксплойт-код, используемый исполнителями, предназначался для заражения устаревших систем Windows 7 и Windows Server 2008, но, по сообщениям, пользователи Windows 10 не могут быть затронуты этим вирусом.

Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:

1. Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
2. Следите за обновлениями остальных компьютерных программ.
3. Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами. 
4. Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса. 
5. Отключите SMBv1, используя инструкции, предоставленные Microsoft.

Исследователь демонстрирует скриншоты, сделанные во время WannaCry атаки. Вы можете видеть Wanna Decrypt0r окно также, как и изображение, установленное WannaCry в качестве фона рабочего стола после заражения системы и шифрования всех файлов на ней.

Версии WannaCry

Вирус файл-расширение .wcry. Считается, что это первая версия печально известного вымогателя. Впервые, она была обнаружена в начале февраля 2017 года, и поначалу этот вирус не был похож на тот, который мог превзойти самые распространенные вирусы, такие как Cryptolocker,  CryptXXX или Cerber.

Вирус использует криптографический шифр AES-128 для надежной блокировки файлов, добавляет файл расширение .wcry к их именам и просит передать 0,1 биткойн в предоставленный виртуальный кошелек. Первоначально вредоносное ПО распространялось через спам письма электронной почты; Однако, конкретно этот вирус не принес много доходов для его разработчиков. Несмотря на то, что файлы, зашифрованные этим вымогателем, оказались невосстанавливаемыми без ключа дешифрования, разработчики решили обновить вредоносную программу.

Вирус-вымогатель WannaCrypt0r . Это еще одно название обновленной версии вымогателя. Новая версия выбирает уязвимости Windows как основной вектор атаки и зашифровывает все файлы, хранящиеся в системе за считанные секунды. Зараженные файлы могут быть распознаны через расширения, добавленные к имени файла сразу после оригинального имени файла — .wncry, wncryt или .wcry.

Невозможно восстановить поврежденные данные без резервных копий или закрытого ключа, созданного во время процесса шифрования данных. Обычно вирус требует $300, хотя он повышает цену выкупа $600, если жертва не заплатит деньги в течение трех дней.

Вирус-вымогательWannaDecrypt0r . WannaDecrypt0r — это программа, которую вирус запускает после успешного проникновения в целевую систему. Исследователи уже заметили версии Wanna Decryptor 1.0 и Wanna Decryptor 2.0, приближающиеся к жертвам.

Вредоносная программа отображает часы с обратным отсчетом, показывающие, сколько времени осталось, чтобы заплатить выкуп до тех пор, пока цена его не достигнет максимума, а также идентичные часы обратного отсчета, показывающие, сколько времени осталось до тех пор, пока вирус не удалит все данные с компьютера. Эта версия потрясла виртуальное сообщество 12 мая 2017 года, хотя спустя несколько дней его остановил исследователь безопасности, который носит имя MalwareTech.

Как удалить WannaCry и восстановить зашифрованные файлы?

Вам следует полагаться только на профессиональные методы удаления вируса WannaCry и не пытаться вручную удалить эту вредоносную программу. Вирус чрезвычайно опасен и использует сложные меры для распространения через всю компьютерную систему, а также заражает подключенные компьютеры и интеллектуальные устройства. Чем скорее вы отключите этот вирус, тем лучше, так что не теряйте больше времени.

Если у вас есть резервные копии данных, не спешите подключать их или копировать на зараженный компьютер. Для достижения наилучших результатов мы рекомендуем следовать этим рекомендациям по удалению WannaCry, предоставленным командой bedynet.ru.

Удалите WannaCry, используя Safe Mode with Networking

Чтобы удалить вирус WannaCry, следуйте приведенным ниже инструкциям и убедитесь, что ваш компьютер загружен в нужном режиме. Таким образом, вы отключите вирус и создадите правильную среду, чтобы запустить программного обеспечения для удаления вредоносных программ.

• Windows 7 / Vista / XP

  1. Щелкните Start → Shutdown → Restart → OK.
  2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
  3. В списке выберите Safe Mode with Networking

  Windows 10 / Windows 8

  1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
  2. Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
  3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.

• Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите ReimageIntego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление WannaCry.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите WannaCry, используя System Restore

В случае, если метод 1 не поможет вам удалить паразита, мы настоятельно рекомендуем попробовать эту опцию.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить WannaCry с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

Если вы не хотите тратить от 300 до 600 долларов США и у вас нету резервных копий данных, не существует способа восстановить файлы, зашифрованные этим грозным вирусом. Аналитики вредоносных программ работают над образцами вирусов, и однажды они могут придумать инструмент дешифрования; однако такой день может никогда не наступить, потому что практически невозможно отменить процесс шифрования без права дешифрования. До тех пор мы предлагаем вам попробовать следующие варианты восстановления данных:

Если ваши файлы зашифрованные WannaCry, вы можете использовать несколько методов, чтобы восстановить их:

Установите и запустите Data Recovery Pro

Data Recovery Pro может быть нужным инструментом, если вы хотите восстановить часть зашифрованных файлов. Здесь, как его использовать.

• Загрузить Data Recovery Pro;
• Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
• Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные WannaCry вымогателем;
• Восстановите их.

Поищите темные копии данных

Иногда даже наиболее утонченные вирусы могут не выполнить все задания, поэтому если вы достаточно удачны – вирус мог оставить темные копии данных на системе. Чтобы найти их и восстановить – установите ShadowExplorer.

• Загрузите Shadow Explorer (https://shadowexplorer.com/);
• Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
• Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
• Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

Дешифровщик WannaCry еще не доступен

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от WannaCry и других подобных приложений, используйте надежную антишпионскую программу, такую как ReimageIntego, SpyHunter 5Combo Cleaner или Malwarebytes