Wncry, как восстановить файлы

Обновлено: 03.07.2024

Мы удаляем то, что другие не могут

Заражены вирусом-вымогателем WannaCry? Нужно расшифровать файлы?

Что такое программа-вымогатель WannaCry

WannaCry Ransomware — новый опасный вирус-шифровальщик, который нацелен на конфиденциальные пользовательские файлы, такие как документы, фотографии, видео, музыку, и заразил более 250 000 компьютеров по всему миру. После шифрования вредоносное ПО показывает окно Wana Decrypt0r 2.0 со следующим сообщением:

Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте время зря. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.

И требует 300 долларов за расшифровку. К сожалению, на данный момент возможности восстановить ваши файлы нет, но и платить выкуп смысла нет, так как ключ злоумышленники никогда не отправляют. Разработчики угрозы за несколько дней заработали больше $50000, так как требуемую сумму заплатили несколько сотен пользователей. Нет информации, получали ли они услугу расшифровки или нет. Если вы используете резервное копирование онлайн или офлайн, вам необходимо удалить программу-вымогатель WannaCry и восстановить файлы. В противном случае прочитайте инструкции ниже.

Обновление: используйте следующую службу, чтобы определить версию и тип программы-вымогателя, которой вы были атакованы: ID Ransomware. Также проверьте следующий веб-сайт на наличие возможного дешифратора: Emsisoft Decryptors.

Как программа-вымогатель WannaCry заразила ваш компьютер

Эта программа-вымогатель была широко распространена 12 мая 2017 года с использованием предполагаемой уязвимости АНБ под названием EternalBlue. Выкуп просят заплатить в биткойнах, что также усложняет задачу полиции, так как пользователи в этой сети часто анонимны. Шифрование запускается в фоновом режиме. Способ защитить свой компьютер от таких угроз — использовать антивирусы с криптозащитой, такие как HitmanPro.Alert с CryptoGuard.

Прежде всего не паникуйте. Следуйте этим простым шагам ниже.

<р>1. Запустите компьютер в безопасном режиме с поддержкой сети. Для этого перезагрузите компьютер, перед запуском системы несколько раз нажмите F8. Это остановит загрузку системы и отобразит экран дополнительных параметров загрузки. Выберите «Безопасный режим с сетевым подключением» из списка параметров, используя стрелки вверх и вниз на клавиатуре, и нажмите «Ввод».
2. Войдите в систему, зараженную вирусом WannaCry Ransomware. Запустите интернет-браузер, загрузите надежную антивирусную программу и запустите полное сканирование системы. После завершения сканирования просмотрите результаты сканирования и удалите все обнаруженные записи.

Как расшифровать файлы, зараженные WannaCry Ransomware?

Используйте автоматические инструменты расшифровки

Вы также можете попробовать использовать ручные методы для восстановления и расшифровки файлов.

Расшифровать файлы вручную

Восстановить систему с помощью функции «Восстановление системы»

Несмотря на то, что последние версии программы-вымогателя WannaCry удаляют файлы восстановления системы, этот метод может помочь вам частично восстановить ваши файлы. Попробуйте и используйте стандартное восстановление системы, чтобы восстановить данные.

Начать поиск по запросу «восстановление системы».
Нажмите на результат
Выберите дату до появления заражения
Следуйте инструкциям на экране.

Откатить файлы до предыдущей версии

Предыдущие версии могут быть копиями файлов и папок, созданных программой архивации Windows (если она активна), или копиями файлов и папок, созданных функцией восстановления системы. Вы можете использовать эту функцию для восстановления файлов и папок, которые вы случайно изменили или удалили, или которые были повреждены (в нашем случае — WannaCry Ransomware от WannaCry Ransomware). Эта функция доступна в Windows 7 и более поздних версиях.

Полное руководство по удалению файлового вируса WNCRY

Файловый вирус WNCRY, также называемый WannaCry, WanaCryptor, WanaCrypt0r и Wana Decrypt0r, представляет собой программу-вымогатель, которая добавляет файлы .WINCRY вскоре после шифрования файлов, хранящихся на скомпрометированном устройстве. Он в основном нацелен на пользователей ОС Windows и в настоящее время затрагивает более 230 000 компьютеров и цифрового оборудования в более чем 150 странах. Он нацелен на уязвимости CVE-2017-0415 на устройствах Windows. Новость об этой уязвимости просочилась вместе с планом мошенников по атакам АНБ на пользователей Windows.

Все файлы пользователей, зараженных этим вирусом, будут зашифрованы и бесполезны. Файловый вирус WNCRY шифрует их, используя какой-то надежный алгоритм шифрования, который делает невозможным доступ к ним без их расшифровки с помощью подходящего инструмента дешифрования. Мошенники хранят такие инструменты на некоторых удаленных серверах и начинают шантажировать пользователей за выкуп за предоставление инструмента для расшифровки. Сообщение с требованием выкупа появляется в файле @[email protected] вскоре после завершения процесса шифрования, и файлы получают расширение .WNCRY.

В примечании о выкупе говорится, что файлы были зашифрованы, а это означает, что пользователи больше не смогут получить к ним доступ, пока они не заплатят выкуп мошенникам, стоящим за файловым вирусом WNCRY, и не купят инструмент для расшифровки. Цена инструмента составляет 300 долларов США, которые должны быть оплачены в биткойнах. Однако никакой контактной информации в записке нет. Как правило, мошенники сбрасывают адрес электронной почты контакта. Тем не менее, связываться с мошенниками / платить им крайне не рекомендуется, так как есть риск быть обманутым. Мошенники могут не предоставить инструмент для расшифровки, даже если все их требования будут выполнены. Самый безопасный вариант — удалить файловый вирус WNCRY, а затем восстановить файлы, используя существующую резервную копию.

Если у вас нет файла резервной копии, вы можете использовать теневое копирование тома — проверьте под сообщением в разделе восстановления данных, доступен ли этот файл для вас или нет. В случае, если этот вариант вам недоступен, вам следует переключиться на другой режим восстановления данных, т.е. использовать любые инструменты восстановления данных. В настоящее время такие инструменты разрабатываются с добавлением специальных функций, поэтому возврат файлов с помощью таких инструментов может быть возможен. Однако, прежде чем использовать любой из методов расшифровки данных, сначала удалите файловый вирус WNCRY с устройства. Удаление вирусов позволяет выполнять процесс восстановления файлов без каких-либо помех. Удаление гарантирует, что дальнейшее шифрование файлов не произойдет. Кроме того, это позволит избежать различных возможных рисков, таких как риск повреждения системы/программного обеспечения или возникновения других проблем/ошибок безопасности системы, кражи данных и внедрения дополнительных вредоносных программ. Для удаления вируса используйте надежное антивирусное средство или следуйте инструкциям по удалению вредоносных программ вручную, приведенным под сообщением.

Проблема. Сохраненные файлы становятся недоступными, а их имена переименовываются. На рабочем столе отображается сообщение с требованием выкупа. Киберпреступники требуют выкуп за расшифровку файлов.

Способы распространения: зараженные вложения электронной почты, торрент-сайты и вредоносная реклама

Ущерб: риск кражи пароля трояном или другим опасным вирусным вторжением, которые вызывают прямой ущерб системе/установленному программному обеспечению

Удаление: используйте надежное антивирусное средство или следуйте приведенным ниже пошаговым инструкциям, чтобы удалить файловый вирус WNCRY из системы

Восстановление файлов: используйте существующую резервную копию. Если у вас нет таких инструментов, обратитесь к предоставленному вам инструменту восстановления данных чуть ниже поста для восстановления поврежденных файлов

Пиратство приносит вредоносное ПО прямо в систему

Вредоносные файлы различных типов могут быть установлены вместе с нужным программным обеспечением или из спама в виде прямых вложений. Такие вложения содержат некоторые файлы документов с вредоносными макросами, после включения которых происходит удаленное подключение к устройству и внедрение в него. Кроме того, торрент-сайты, службы обмена файлами — это сайты, на которых пользователи могут найти любые программные взломы и читы, которые могут легко включать методы распространения вредоносных программ. Вы должны не нажимать на какие-либо вложения, представленные в любых электронных письмах, которые кажутся подозрительными, а также держаться подальше от таких веб-сайтов и всегда полагаться на официальные веб-сайты и прямые ссылки для загрузки любого программного обеспечения. Для улучшения используйте какой-нибудь антивирусный инструмент, обеспечивающий адекватную защиту устройства.

Удалить файловый вирус WNCRY

Руководство по удалению вредоносных программ вручную приведено под сообщением. Следуйте ему, чтобы не было никаких проблем в процессе удаления. Вы можете использовать надежное антивирусное средство для автоматического удаления файлового вируса WNCRY с устройства.

Специальное предложение (для Windows)

Файловый вирус WNCRY может представлять собой жуткую компьютерную инфекцию, которая может возвращаться снова и снова, поскольку скрывает свои файлы на компьютерах. Чтобы выполнить беспроблемное удаление этого вредоносного ПО, мы предлагаем вам попробовать мощный сканер вредоносных программ Spyhunter, чтобы проверить, может ли программа помочь вам избавиться от этого вируса.

Обязательно ознакомьтесь с Лицензионным соглашением SpyHunter, Критериями оценки угроз и Политикой конфиденциальности SpyHunter.Загруженный бесплатный сканер Spyhunter просто сканирует и обнаруживает существующие угрозы с компьютеров, а также может удалить их один раз, однако для этого требуется, чтобы вы работали в течение следующих 48 часов. Если вы намерены мгновенно удалить обнаруженных крыс, вам придется купить его лицензионную версию, которая полностью активирует программу.

Предложение по восстановлению данных

Мы предлагаем вам выбрать недавно созданные файлы резервных копий, чтобы восстановить зашифрованные файлы, однако, если у вас нет таких резервных копий, вы можете попробовать инструмент восстановления данных, чтобы проверить, можете ли вы восстановить потерянные данные. .

Сведения об антивредоносных программах и руководство пользователя

Шаг 1. Удалите файловый вирус WNCRY через «Безопасный режим с поддержкой сети»

Шаг 2. Удалите файловый вирус WNCRY с помощью «Восстановления системы»

Шаг 1. Удалите файловый вирус WNCRY через «Безопасный режим с поддержкой сети»

Для пользователей Windows XP и Windows 7: загрузите ПК в «Безопасном режиме». Нажмите «Пуск» и постоянно нажимайте F8 во время процесса запуска, пока на экране не появится меню «Дополнительные параметры Windows». Выберите «Безопасный режим с поддержкой сети» из списка.

Теперь на рабочем столе появляется главный экран Windows, а рабочая станция теперь работает в «Безопасном режиме с поддержкой сети».

Для пользователей Windows 8: перейдите на «Стартовый экран». В результатах поиска выберите настройки, введите «Дополнительно». В опции «Общие настройки ПК» выберите опцию «Расширенный запуск». Снова нажмите «Перезагрузить сейчас». Рабочая станция загружается в «Дополнительное меню параметров запуска». Нажмите «Устранение неполадок», а затем кнопку «Дополнительные параметры». На экране «Дополнительные параметры» нажмите «Параметры запуска». Снова нажмите на кнопку «Перезагрузить». Теперь рабочая станция перезапустится с экраном «Startup Setting». Затем нажмите F5, чтобы загрузиться в безопасном режиме в сети.

Для пользователей Windows 10: нажмите на логотип Windows и значок «Питание». В открывшемся меню выберите «Перезагрузить», непрерывно удерживая кнопку «Shift» на клавиатуре. В новом открытом окне «Выберите вариант» нажмите «Устранение неполадок», а затем «Дополнительные параметры». Выберите «Параметры запуска» и нажмите «Перезагрузить». В следующем окне нажмите кнопку «F5» на клавиатуре.

Шаг 2. Удалите файловый вирус WNCRY с помощью «Восстановления системы»

Войдите в учетную запись, зараженную файловым вирусом WNCRY. Откройте браузер и загрузите законный инструмент для защиты от вредоносных программ. Выполните полное сканирование системы. Удалите все обнаруженные вредоносные записи.

Специальное предложение (для Windows)

Обязательно ознакомьтесь с Лицензионным соглашением SpyHunter, Критериями оценки угроз и Политикой конфиденциальности SpyHunter. Загруженный бесплатный сканер Spyhunter просто сканирует и обнаруживает существующие угрозы с компьютеров, а также может удалить их один раз, однако для этого требуется, чтобы вы работали в течение следующих 48 часов. Если вы намерены мгновенно удалить обнаруженных крыс, вам придется купить его лицензионную версию, которая полностью активирует программу.

Предложение по восстановлению данных

Если вы не можете запустить компьютер в «Безопасном режиме с поддержкой сети», попробуйте использовать «Восстановление системы»

Во время «Запуска» постоянно нажимайте клавишу F8, пока не появится меню «Дополнительные параметры». В списке выберите «Безопасный режим с командной строкой» и нажмите «Ввод».

В открывшейся командной строке введите «cd restore» и нажмите «Ввод».

Выберите любую из «Точек восстановления» и нажмите «Далее». (Этот шаг вернет рабочую станцию к ее более раннему времени и дате до проникновения файлового вируса WNCRY на ПК.

После того, как ваш компьютер будет восстановлен до предыдущей даты и времени, загрузите рекомендуемое средство защиты от вредоносных программ и выполните глубокое сканирование, чтобы удалить вирусные файлы WNCRY, если они остались на рабочей станции.

Чтобы восстановить каждый (отдельный) файл этим вымогателем, используйте функцию «Предыдущая версия Windows». Этот метод эффективен, когда на рабочей станции включена «Функция восстановления системы».

Важное примечание. Некоторые варианты файлового вируса WNCRY также удаляют «теневые копии томов», поэтому эта функция может работать не всегда и применима только для отдельных компьютеров.

Как восстановить отдельный зашифрованный файл:

Чтобы восстановить один файл, щелкните его правой кнопкой мыши и перейдите в «Свойства». Выберите вкладку «Предыдущая версия». Выберите «Точка восстановления» и нажмите «Восстановить».

Чтобы получить доступ к файлам, зашифрованным файловым вирусом WNCRY, вы также можете попробовать использовать «Shadow Explorer». Чтобы получить дополнительную информацию об этом приложении, нажмите здесь.

Важно: программы-вымогатели с шифрованием данных очень опасны, и всегда лучше принять меры предосторожности, чтобы избежать их атаки на вашу рабочую станцию. Рекомендуется использовать мощное средство защиты от вредоносных программ, чтобы получить защиту в режиме реального времени. С помощью «SpyHunter» «объекты групповой политики» внедряются в реестры для блокировки вредоносных инфекций, таких как файловый вирус WNCRY.

Кроме того, в Windows 10 вы получаете уникальную функцию под названием «Обновление Fall Creators», которая предлагает функцию «Контролируемый доступ к папкам», чтобы заблокировать любое шифрование файлов. С помощью этой функции любые файлы, хранящиеся в таких папках, как «Документы», «Изображения», «Музыка», «Видео», «Избранное» и «Рабочий стол», по умолчанию безопасны.

Очень важно установить это «Windows 10 Fall Creators Update» на свой компьютер, чтобы защитить важные файлы и данные от шифрования программами-вымогателями. Более подробная информация о том, как получить это обновление и добавить дополнительную защиту от атаки rnasomware, обсуждалась здесь.

Как восстановить файлы, зашифрованные файловым вирусом WNCRY?

До сих пор вы бы понимали, что случилось с вашими личными файлами, которые были зашифрованы, и как вы можете удалить сценарии и полезные нагрузки, связанные с файловым вирусом WNCRY, чтобы защитить ваши личные файлы, которые не были повреждены или зашифрованы до сейчас. Чтобы получить заблокированные файлы, информация о глубине, связанная с «Восстановлением системы» и «Копиями теневого тома», уже обсуждалась ранее. Однако, если вы по-прежнему не можете получить доступ к зашифрованным файлам, вы можете попробовать использовать инструмент восстановления данных.

Использование инструмента восстановления данных

Этот шаг предназначен для всех тех жертв, которые уже попробовали все вышеупомянутые процессы, но не нашли решения. Также важно, чтобы у вас был доступ к ПК и вы могли установить любое программное обеспечение. Инструмент восстановления данных работает на основе алгоритма сканирования и восстановления системы. Он ищет системные разделы, чтобы найти исходные файлы, которые были удалены, повреждены или повреждены вредоносным ПО. Помните, что вы не должны переустанавливать ОС Windows, иначе «предыдущие» копии будут удалены безвозвратно. Сначала необходимо очистить рабочую станцию и удалить файловый вирус WNCRY. Оставьте заблокированные файлы как есть и выполните шаги, указанные ниже.

Шаг 1. Загрузите программное обеспечение на рабочую станцию, нажав кнопку «Загрузить» ниже.

Шаг 2. Запустите программу установки, щелкнув загруженные файлы.

Шаг 3. На экране появится страница лицензионного соглашения. Нажмите «Принять», чтобы согласиться с его условиями и использованием. Следуйте инструкциям на экране, как указано, и нажмите кнопку "Готово".

Шаг 4. После завершения установки программа запускается автоматически. В открывшемся интерфейсе выберите типы файлов, которые вы хотите восстановить, и нажмите «Далее».

Шаг 5. Вы можете выбрать «Диски», на которых вы хотите запустить программу, и выполнить процесс восстановления. Далее следует нажать на кнопку «Сканировать».

Шаг 6. В зависимости от диска, выбранного для сканирования, начинается процесс восстановления. Весь процесс может занять время в зависимости от объема выбранного диска и количества файлов. После завершения процесса на экране появляется проводник данных с предварительным просмотром тех данных, которые необходимо восстановить. Выберите файлы, которые вы хотите восстановить.

Шаг 7. Далее нужно найти место, где вы хотите сохранить восстановленные файлы.

Специальное предложение (для Windows)

Обязательно ознакомьтесь с Лицензионным соглашением SpyHunter, Критериями оценки угроз и Политикой конфиденциальности SpyHunter. Загруженный бесплатный сканер Spyhunter просто сканирует и обнаруживает существующие угрозы с компьютеров, а также может удалить их один раз, однако для этого требуется, чтобы вы работали в течение следующих 48 часов. Если вы намерены мгновенно удалить обнаруженных крыс, вам придется купить его лицензионную версию, которая полностью активирует программу.

Предложение по восстановлению данных

Для восстановления необходимых системных компонентов приобретите лицензионную версию Reimage Reimage recovery tool.

Вирус-вымогатель WannaCry, также известный как вирус с расширением файла .wncry, начал распространяться 17 мая 2017 года. Несмотря на предположения о происхождении вредоносного ПО, последние данные свидетельствуют о том, что оно могло быть разработано в Малайзии. Хотя силам ИТ-кибербезопасности удалось ограничить масштаб атаки, вредоносное ПО все еще находится на ранней стадии распространения. За выходные кибератака охватила более 150 стран, более 230 000 зараженных устройств. Причиной буйства стала утечка хакерского инструмента АНБ, основанного на уязвимости EternalBlue или CVE-2017-0145. Эта уязвимость способствует более быстрому заражению серверов SMBv1. Хотя Microsoft выпустила исправления для этой уязвимости еще в марте, количество зараженных устройств показывает, что как пользователи, так и компании по-прежнему не обновляют операционные системы регулярно.

С другой стороны, возможно, WannaCry, Wana Decrypt0r или WanaCrypt0r никогда бы не были разработаны, если бы не кража данных АНБ. Последняя организация знала об этой уязвимости. С другой стороны, это снова порождает теории о том, что последнее агентство могло использовать уязвимость в своих целях, поскольку уязвимость делает все устаревшие версии ОС Windows уязвимыми для атаки. EternalBlue создает лазейку, через которую вредоносные программы могут завладеть устройством. После завершения процесса заражения вредоносное ПО запускает свое окно. Кроме того, его спецификации компьютерного червя дают вирусу возможность повреждать все доступные устройства на том же сервере или в сети. Таким образом, это привело к атаке мирового масштаба. Интересно, что в примечании о выкупе вредоносного ПО не указывается никакой информации о методе шифрования. Как и в случае с крипто-вредоносными программами, злоумышленники предупреждают пользователей о необходимости перевести деньги в течение трех дней после заражения. В противном случае сумма требуемых денег удваивается. Если жертвы не перечисляют платеж в течение недели, файлы якобы удаляются. Однако такое психологическое давление является популярной стратегией среди хакеров, поэтому даже если эта угроза проникнет в систему, нет гарантии, что злоумышленники будут играть честно.

Методы предотвращения

Для восстановления необходимых системных компонентов приобретите лицензионную версию Reimage Reimage recovery tool.

В отличие от других образцов программ-вымогателей, эта вредоносная программа атакует не просто через спам-сообщения. Как упоминалось ранее, он использует EternalBlue, который предоставляет секретный доступ к компьютеру. Другими словами, он создает бэкдор. На фоне сообщений об этом вредоносном ПО по всему миру Microsoft выпустила срочное обновление. В случае, если вы его не получили, проверьте наличие обновлений вручную и установите те, которые не были установлены автоматически или не были установлены из-за временной ошибки. Кроме того, обновите свои приложения безопасности. Вы можете проверить свою систему с помощью Reimage Mac Washing Machine X9 или MalwarebytesAnti-Malware.

Расшифровка файлов с расширением .wncry

Для восстановления необходимых системных компонентов приобретите лицензионную версию Reimage Reimage recovery tool.

Обратите внимание, что перед попыткой расшифровки файлов завершите удаление файлового вируса .wncry. Хакеры предлагают вам установить собственный Wana Decryptor. Однако после установки программного обеспечения есть вероятность, что оно может нанести еще больший ущерб в будущем. Иметь дело с хакерами никогда не бывает хорошим решением. Вы можете попробовать расшифровать данные с помощью программы Data Recovery Pro или Shadow Explorer. Последний использует теневые копии томов для восстановления файлов. Этот метод эффективен в том случае, если вредоносное ПО не удаляет файлы заранее. Дополнительные сведения об использовании этих программ см. в руководствах по ссылкам.

Эта статья создана, чтобы помочь вам удалить вирус-вымогатель .WNCRY Wana Decrypt0r 2.0 (новый вариант WannaCry) и восстановить файлы, зашифрованные с расширением .WNCRY.

Сообщается, что новая программа-вымогатель, названная охотниками за вредоносным ПО Wana Decrypt0r 2.0, шифрует файлы на зараженных ею компьютерах. Вирус-вымогатель использует расширение файла .WNCRY, и в основном сообщается, что это новая версия вируса-вымогателя WannaCry, также известного как семейство вирусов-вымогателей WCry. Инфекция сбрасывает записку о выкупе с именем @Please_Read_Me@.txt и меняет обои, а также добавляет программное обеспечение с инструкциями по оплате выкупа. Если вы стали жертвой этого вируса-вымогателя, мы настоятельно рекомендуем внимательно прочитать следующую статью.

Обзор угроз

.WNCRY

Проблема Файлы зашифрованы с добавленным к ним расширением .WNCRY. В дополнение к этому добавлена записка о выкупе под названием @Please_Read_Me@.txt. Также добавляет экран блокировки с именем «Wana Decrypt0r 2.0». Способ распространения С помощью комплекта эксплойтов, атаки на файл Dll, вредоносного JavaScript или жесткого диска. загрузив само вредоносное ПО запутанным образом. Инструмент обнаружения Проверить, не была ли ваша система заражена вредоносным ПО

Обновление за ноябрь 2017 г.! WannaCry прекратил заражение с тех пор, как исследователь вредоносного ПО, известный как @malwareTechBlog, нашел для него переключатель уничтожения. Плохая новость заключается в том, что финансовый ущерб от этого вируса продолжает увеличиваться.

Вирус .WNCRY — как он распространяется

Подобно предыдущему варианту .wcry, эта итерация программы-вымогателя также может использовать для распространения те же самые методы. Они связаны с использованием разного рода инструментов, предназначенных специально для незаметного распространения вредоносных файлов и URL-адресов:

Эксплойты ETERNALBLUE и DOUBLEPULSARE, опубликованные ShadowBrokers в утечке под названием «Трудности перевода», которая произошла еще в апреле 2017 года.
Программное обеспечение для рассылки спама (спам-боты, поисковые роботы и т. д.)
Предварительно настроенный список адресов электронной почты потенциальных жертв, на которые может рассылаться спам.
Вредоносное ПО-посредник для заражения.
Набор C2-серверов и доменов распространения для управления и загрузки полезной нагрузки файлового вируса .WNCRY.

Несмотря на то, что программа-вымогатель WanaCrypt0r 2.0 может распространяться через торрент-сайты, поддельные обновления или другие поддельные установки и исполняемые файлы, загруженные на сомнительные сайты, основным методом распространения вируса могут быть убедительно созданные электронные письма. Такие электронные письма направлены на то, чтобы жертвы щелкнули вредоносное вложение электронной почты и, следовательно, заразились файловым вирусом .WNCRY.

Вложения обычно могут быть .js, .exe или исполняемыми файлами другого типа, но в некоторых случаях они также связаны с вредоносными макросами. Эти вредоносные макросы могут быть активированы после того, как пользователь активирует содержимое документа. Вот как происходит этот процесс заражения:

Первые заражения Wana Decrypt0r 2.0 произошли в Германии, России, Тайване, Турции, Казахстане, Индонезии, Вьетнаме, Японии, Испании, Украине и на Филиппинах. Но количество стран может очень быстро возрасти в ближайшее время, так как эта модель показывает глобальную дистрибьюторскую кампанию.

Файловый вирус .WNCRY Как это работает

Основным действием вируса-вымогателя Wana Decrypt0r 2.0 после заражения является размещение встроенного файла в папку, где находится зараженный файл. Файл представляет собой защищенный паролем файл .zip с именем wcry.zip. Он имеет следующее содержание:

b.wnry
c.wnry
р.внри
s.wnry
t.wnry
у.внри
taskse.exe
taskdl.exe

Зараженный файл программы-вымогателя Wana Decrypt0r 2.0 извлечет эти заархивированные файлы в папку и начнет подключение к веб-странице загрузки веб-браузера TOR. Оттуда вирус .Wana Decrypt0r 2.0 может подключаться к нескольким серверам управления и контроля:

57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

Затем Wana Decrypt0r 2.0 готовится к шифрованию жизненно важных файлов жертвы. Для этого он запускает административную команду в Windows, чтобы получить функции администратора:

→ icacls . /grant Все: F /T /C /Q

Затем вирус Wana Decrypt0r 2.0 отключает следующие системные процессы Windows из диспетчера задач:

→ Mysqld.exe
Sqlwriter.exe
Sqlserver.exe
MSExchange
Microsoft.Exchange

Полезная нагрузка может состоять из нескольких файлов разных типов. Некоторые из этих файлов могут изменять редактор реестра Windows и указывать следующие подразделы:

→ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd
HKCU\Control Panel\Desktop\Wallpaper< /p>

В эти ключи можно вводить настраиваемые строки значений с данными, чтобы программы-вымогатели могли запускаться при запуске системы и начинать шифрование файлов при загрузке.

В дополнение к активности WanaCrypt0r заражение .WNCRY может заключаться в удалении теневых копий томов и ликвидации всех шансов восстановления ваших файлов с помощью резервного копирования на зараженном компьютере. Это делается путем выполнения следующих административных команд Windows:

→ vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set boostatuspolicy ignoreallfailures
bcdedit /set recoveryenabled no & wbadmin delete catalog -quiet

В дополнение к этой активности вирус WannaCry .WNCRY также запускает программу с именем @WanaDecryptor@.exe, которая имеет реальный таймер с подробными инструкциями о том, как заплатить выкуп. Эта программа называется «Wana Decrypt0r 2.0», и ее сообщение выглядит следующим образом:

После того, как таймер этой программы истечет, стоимость выкупа может удвоиться, согласно сообщениям о вредоносном программном обеспечении и предыдущей версии, также использующей это программное обеспечение.

Другое действие программы заключается в том, что она также меняет обои на компьютере жертвы со следующим сообщением:

К сожалению, ваши важные файлы зашифрованы.
Если вы видите этот текст, но не видите окно «Wana Decrypt0r»,
то ваш антивирус удалил программу расшифровки или вы удалили ее со своего компьютера.
Если вам нужны ваши файлы, вы должны запустить программное обеспечение для расшифровки.
Найдите файл приложения с именем «@WanaDecryptor@.exe» в любой папке или восстановите его из антивирусного карантина.
Запускайте и следуйте инструкциям!

Файловый вирус .WNCRY — процесс шифрования

В дополнение к этому другой шифр, известный как Риверс-Шамир-Адлеман или RSA, также используется в сочетании с шифром AES для создания уникальных открытых и закрытых ключей для каждого из файлов. Это делает расшифровку каждого файла отдельным и очень сложным и уникальным процессом.

Что касается процесса шифрования, вирус .WNCRY нацелен на файлы, которые широко используются. Обычно это следующие файлы:

→ .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, . class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .jpg, .jpg, .bmp, .jpg, .jpg, .vcd, .iso, .backup, .zip, .rar, .tgz , .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, . onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf , .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot , .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, . ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar

После завершения шифрования файл .Вирус WNCRY может отправить ключ дешифрования киберпреступникам, чтобы они могли создать собственный дешифратор для жертвы, который будет отправлен ему обратно после выплаты выкупа. Однако платить выкуп крайне нежелательно.

Чтобы удалить программу-вымогатель .WNCRY, мы настоятельно рекомендуем вам сначала создать резервную копию файлов, создав их копии, а затем приступить к удалению. Один из способов удалить его — следовать инструкциям по удалению в нижней части этой статьи. Они тщательно созданы, чтобы помочь вам удалить все файлы, предварительно изолировав вирус .WNCRY. Если вы хотите автоматически и полностью удалить угрозу WanaCrypt0r 2.0, рекомендуется сосредоточиться на удалении вируса-вымогателя с помощью усовершенствованного средства защиты от вредоносных программ, которое обеспечит быстроту процесса удаления.

Чтобы восстановить ваши файлы, мы настоятельно рекомендуем вам попробовать альтернативные методы восстановления зашифрованных файлов. Они могут не полностью восстановить все ваши файлы, но могут восстановить большинство ваших зашифрованных файлов при правильном сценарии. Вы можете найти методы в шаге «2. Восстановите файлы, зашифрованные с помощью .WNCRY» ниже.

Вентислав Крастев

Вентислав является экспертом по кибербезопасности в SensorsTechForum с 2015 года. Он исследует, охватывает и помогает жертвам последних заражений вредоносным ПО, а также тестирует и анализирует программное обеспечение и новейшие технические разработки. Венцислав, также получивший высшее образование в области маркетинга, также увлечен изучением новых изменений и инноваций в области кибербезопасности, которые меняют правила игры. Изучив управление цепочками создания стоимости, сетевое администрирование и компьютерное администрирование системных приложений, он нашел свое истинное призвание в индустрии кибербезопасности и твердо верит в обучение каждого пользователя вопросам безопасности и защиты в Интернете.

Читайте также:

Wncry, как восстановить файлы

Заражены вирусом-вымогателем WannaCry? Нужно расшифровать файлы?

Что такое программа-вымогатель WannaCry

Как программа-вымогатель WannaCry заразила ваш компьютер

Рекомендуемое решение:

Удалите следующие записи реестра:

Удалить следующие файлы:

Как расшифровать файлы, зараженные WannaCry Ransomware?

Используйте автоматические инструменты расшифровки

Расшифровать файлы вручную

Восстановить систему с помощью функции «Восстановление системы»

Откатить файлы до предыдущей версии

Полное руководство по удалению файлового вируса WNCRY

Пиратство приносит вредоносное ПО прямо в систему

Сведения об антивредоносных программах и руководство пользователя

Шаг 1. Удалите файловый вирус WNCRY через «Безопасный режим с поддержкой сети»

Шаг 2. Удалите файловый вирус WNCRY с помощью «Восстановления системы»

Как восстановить отдельный зашифрованный файл:

Как восстановить файлы, зашифрованные файловым вирусом WNCRY?

Методы предотвращения

Расшифровка файлов с расширением .wncry

Обзор угроз

.WNCRY

Вирус .WNCRY — как он распространяется

Файловый вирус .WNCRY Как это работает

Файловый вирус .WNCRY — процесс шифрования

Вентислав Крастев