Het nieuwe encryptievirus WannaCry of WanaDecryptor 2.0, dat gecodeerde .wncry-bestanden achterlaat in plaats van gebruikersgegevens, doet het internet opschudden. Honderdduizenden computers en laptops over de hele wereld zijn getroffen. Niet alleen gewone gebruikers werden getroffen, maar ook de netwerken van grote bedrijven als Sberbank, Rostelecom, Beeline, Megafon, Russian Railways en zelfs het Russische Ministerie van Binnenlandse Zaken.
Een dergelijke wijdverbreide verspreiding van het ransomware-virus werd verzekerd door het gebruik van nieuwe kwetsbaarheden in Windows-besturingssystemen, die werden vrijgegeven in documenten van de Amerikaanse inlichtingendiensten.
WanaDecryptor, Wanna Cry, WanaCrypt of Wana Decryptor - welke naam is correct?
Op het moment dat de virale aanval op het mondiale web begon, wist niemand precies hoe de nieuwe infectie heette. In eerste instantie belden ze haar Wana Decrypt0r met de naam van het berichtvenster dat op het bureaublad verscheen. Iets later verscheen er een nieuwe wijziging van de encryptor - Wil je Decrypt0r 2.0. Maar nogmaals, dit is een ransomware-venster dat de gebruiker feitelijk een decryptorsleutel verkoopt, die in theorie naar het slachtoffer zou moeten komen nadat hij het vereiste bedrag aan de oplichters heeft overgemaakt. Het virus zelf, zo blijkt, wordt genoemd Wil huilen(Badrand).
Je kunt er nog steeds verschillende namen van vinden op internet. Bovendien plaatsen gebruikers vaak het cijfer “0” in plaats van de letter “o” en omgekeerd. Ook diverse manipulaties met spaties veroorzaken grote verwarring, bijvoorbeeld WanaDecryptor en Wana Decryptor, of WannaCry en Wanna Cry.
Hoe WanaDecryptor werkt
Het werkingsprincipe van deze ransomware is fundamenteel anders dan eerdere ransomware-virussen die we zijn tegengekomen. Voordat een infectie voorheen op een computer kon werken, moest deze eerst worden gelanceerd. Dat wil zeggen, de gebruiker met lange oren ontving per post een brief met een sluwe bijlage - een script dat zich voordeed als een soort document. De persoon lanceerde het uitvoerbare bestand en activeerde daarmee de infectie van het besturingssysteem. Het Bath Edge-virus werkt anders. Hij hoeft niet te proberen de gebruiker te misleiden; het is voldoende dat hij toegang heeft tot de kritieke kwetsbaarheid van de SMBv1-service voor het delen van bestanden via poort 445. Deze kwetsbaarheid kwam overigens beschikbaar dankzij informatie uit de archieven van Amerikaanse inlichtingendiensten gepubliceerd op de website wikileaks.
Eenmaal op de computer van het slachtoffer begint WannaCrypt met het massaal versleutelen van bestanden met behulp van zijn zeer sterke algoritme. De volgende formaten worden voornamelijk beïnvloed:
sleutel, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc
De extensie van het gecodeerde bestand verandert in .wncry. Het ransomware-virus kan twee extra bestanden aan elke map toevoegen. De eerste is een instructie die beschrijft hoe u het wncry-bestand Please_Read_Me.txt kunt decoderen, en de tweede is de decryptortoepassing WanaDecryptor.exe.
Dit vervelende ding werkt stil en vredig totdat het de hele harde schijf beïnvloedt, waarna het een WanaDecrypt0r 2.0-venster toont waarin geld wordt gevraagd. Als de gebruiker niet heeft toegestaan dat de voltooiing werd voltooid en de antivirus het cryptorprogramma kon verwijderen, verschijnt het volgende bericht op het bureaublad:
Dat wil zeggen dat de gebruiker wordt gewaarschuwd dat sommige van zijn bestanden al zijn getroffen en als u ze terug wilt krijgen, stuurt u de cryptor terug. Ja, nu! Doe dit onder geen beding, anders ben je de rest kwijt. Aandacht! Niemand weet hoe WNCRY-bestanden moeten worden gedecodeerd. Doei. Misschien verschijnt er later een soort decoderingstool - we zullen afwachten.
Bescherming tegen het Wanna Cry-virus
Over het algemeen is de Microsoft-patch MS17-010 ter bescherming tegen de Wanna Decryptor-ransomware uitgebracht op 12 mei, en als de Windows Update-service normaal werkt op uw pc, dan
Hoogstwaarschijnlijk is het besturingssysteem al beveiligd. Anders moet u deze Microsoft-patch voor uw versie van Windows downloaden en dringend installeren.
Dan is het raadzaam om de SMBv1-ondersteuning helemaal uit te schakelen. In ieder geval totdat de golf van de epidemie afneemt en de situatie kalmeert. Dit kan worden gedaan vanaf de opdrachtregel met beheerdersrechten door de opdracht in te voeren:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Soortgelijk:
Of via het Windows Configuratiescherm. Daar moet je naar het gedeelte "Programma's en functies" gaan en in het menu "Windows-functies in- of uitschakelen" selecteren. Er verschijnt een venster:
Zoek het item “Ondersteuning voor het delen van bestanden SMB 1.0/CIFS”, schakel het uit en klik op “OK”.
Als er plotseling problemen optreden met het uitschakelen van SMBv1-ondersteuning, kunt u ter bescherming tegen Wanacrypt0r 2.0 een andere route nemen. Maak een regel in de firewall die op het systeem wordt gebruikt en die poort 135 en 445 blokkeert. Voor de standaard Windows-firewall voert u het volgende in op de opdrachtregel:
netsh advfirewall firewall regel toevoegen dir=in actie=blokprotocol=TCP localport=135 naam=»Close_TCP-135″
netsh advfirewall firewall regel toevoegen dir=in actie=blokprotocol=TCP localport=445 naam=»Close_TCP-445″
Een andere optie is om een speciale gratis applicatie Windows Worms Doors Cleaner te gebruiken:
Het vereist geen installatie en stelt u in staat gemakkelijk gaten in het systeem te dichten waardoor een encryptievirus erin kan binnendringen.
En natuurlijk mogen we de antivirusbescherming niet vergeten. Gebruik alleen bewezen antivirusproducten - DrWeb, Kaspersky Internet Security, E-SET Nod32. Als u al een antivirusprogramma hebt geïnstalleerd, zorg er dan voor dat u de database ervan bijwerkt:
Tot slot geef ik je een klein advies. Als u zeer belangrijke gegevens heeft waarvan het uiterst onwenselijk is deze te verliezen, sla deze dan op een verwisselbare harde schijf op en berg deze in een kast op. In ieder geval voor de duur van de epidemie. Dit is de enige manier om op de een of andere manier hun veiligheid te garanderen, omdat niemand weet wat de volgende wijziging zal zijn.
Als de computer waarop het Windows-besturingssysteem draait niet opnieuw is opgestart, kunnen de gegevens daarop worden opgeslagen zonder het losgeld te hoeven betalen dat door het WannaCry-virus wordt vereist. De sleutel tot de oplossing ligt in het besturingssysteem zelf, zeggen Quarkslab-internetbeveiligingsspecialist Adrien Guinet, de wereldberoemde hacker Matt Suiche en freelancer Benjamin Delpy. Het systeem zelf voorkomt de vernietiging van bestanden na de gestelde termijn voor het betalen van het losgeld. Deze methode wordt in alle versies van Windows gebruikt. Experts noemden de nieuwe tool voor het opslaan van gegevens Wanakiwi. In zijn bloggen Matt Suich publiceerde details over het gebruik van een open methode om het virus te bestrijden, waarbij hij alle technische details beschreef.
Niet alle bestanden kunnen niet worden hersteld
Dit verklaart waarom er beweerd wordt dat er bepaalde tools beschikbaar zijn om alle door WannaCry vergrendelde bestanden te decoderen. Helaas blijkt uit onze analyse van hoe deze ransomware werkt dat slechts een paar bestanden die met de demosleutel zijn gecodeerd, door de tool kunnen worden gedecodeerd.
Maar er is misschien enige hoop. Bestanden die tijdens de infectie op het bureaublad, Mijn documenten of op verwisselbare schijven op de computer zijn opgeslagen, worden overschreven met willekeurig gegenereerde gegevens en verwijderd. Dit betekent dat ze niet kunnen worden hersteld met Bestandsherstel of Schijfherstel.
Vanwege mogelijke zwakheden in de malware is het echter mogelijk om andere gecodeerde bestanden op het systeem te herstellen wanneer ze buiten deze drie locaties zijn opgeslagen met behulp van de schijfhersteltool, aangezien de meeste bestanden naar een tijdelijke map worden verplaatst en vervolgens doorgaans worden verwijderd. maar wordt niet overschreven door de reiniger. De herstelsnelheid kan echter variëren tussen systemen, omdat het verwijderde bestand mogelijk wordt overschreven door andere schijfbewerkingen.
Kortom, het is mogelijk om enkele bestanden te herstellen die met WannaCrypt zijn versleuteld maar het losgeld niet hebben betaald, maar het herstellen van alle bestanden zonder back-up lijkt momenteel onmogelijk.
Als veiligheidsopmerking moet u op uw hoede zijn voor diensten die aanbieden om alle bestanden enz. te decoderen, aangezien deze decryptors mogelijk verborgen zijn door malware.
We hebben het bestandsherstel getest met behulp van de Disk Drill schijfhersteltool. De onderstaande schermafbeelding toont de verwijderde bestanden die met deze tool zijn gedetecteerd en hersteld:
Soms maken makers van ransomware fouten in hun code. Deze fouten kunnen ervoor zorgen dat slachtoffers na infectie weer toegang krijgen tot hun bestanden. Ons artikel beschrijft kort verschillende fouten die zijn gemaakt door de ontwikkelaars van de WannaCry-ransomware.
Fouten in de logica voor het verwijderen van bestanden
Wanneer Wannacry bestanden op de computer van een slachtoffer codeert, leest het de inhoud van het originele bestand, codeert het en slaat het op in een bestand met de extensie ".WNCRYT". Nadat het coderingsproces is voltooid, wordt het bestand met de extensie ".WNCRYT" naar een ".WNCRY"-bestand verplaatst en wordt het originele bestand verwijderd. De logica achter deze verwijdering kan variëren, afhankelijk van de locatie en eigenschappen van de originele bestanden.
Bij het lokaliseren van bestanden op het systeemstation:
Als het bestand zich in een “belangrijke” map bevindt (vanuit het perspectief van de ransomware-ontwikkelaars bijvoorbeeld op het bureaublad of in de map Documenten), worden er willekeurige gegevens overheen geschreven voordat het wordt verwijderd. In dit geval is er geen manier om de inhoud van het originele bestand te herstellen.
Als het bestand buiten de "belangrijke" mappen wordt opgeslagen, wordt het originele bestand verplaatst naar de map %TEMP%\%d.WNCRYT (waarbij %d een numerieke waarde is). Zo'n bestand bevat de originele gegevens, waarover niets wordt geschreven - het wordt eenvoudigweg van de schijf verwijderd. Daarom is de kans groot dat het kan worden hersteld met behulp van gegevensherstelprogramma's.
Hernoemde originele bestanden die kunnen worden hersteld vanuit de map %TEMP%
Bij het lokaliseren van bestanden op andere (niet-systeem) schijven:
- De ransomware creëert de map “$RECYCLE” en stelt er de kenmerken “verborgen” en “systeem” in. Als gevolg hiervan wordt de map onzichtbaar in Windows Verkenner als de Explorer-configuratie op standaard is ingesteld. Volgens het plan worden de originele bestanden na versleuteling naar deze map verplaatst.
Procedure voor het definiëren van een tijdelijke map waarin de originele bestanden kunnen worden opgeslagen voordat ze worden verwijderd
- Door synchronisatiefouten in de ransomwarecode blijven de originele bestanden echter in veel gevallen in dezelfde directory staan en worden ze niet verplaatst naar de map $RECYCLE.
- De originele bestanden worden niet veilig verwijderd. Dit feit maakt het mogelijk om verwijderde bestanden te herstellen met behulp van dataherstelprogramma's.
Originele bestanden die kunnen worden hersteld van een niet-systeemstation
Procedure die een tijdelijk pad voor het originele bestand genereert
Codegedeelte dat de hierboven beschreven procedures aanroept
Fout bij het verwerken van tegen schrijven beveiligde bestanden
Tijdens het analyseren van WannaCry ontdekten we ook dat de ransomware een fout had bij het verwerken van tegen schrijven beveiligde bestanden. Als er dergelijke bestanden op de geïnfecteerde computer staan, zal de ransomware deze helemaal niet versleutelen: er worden gecodeerde kopieën van elk dergelijk bestand gemaakt en de originele bestanden zelf krijgen alleen het kenmerk ‘verborgen’. In dit geval kunnen ze gemakkelijk worden gevonden en hersteld naar hun normale kenmerken.
Originele tegen schrijven beveiligde bestanden zijn niet gecodeerd en worden nergens heen verplaatst
conclusies
Als resultaat van onze diepgaande studie van deze ransomware wordt het duidelijk dat de ontwikkelaars veel fouten hebben gemaakt en dat de kwaliteit van de code vrij laag is, zoals we hierboven hebben opgemerkt.
Als uw computer is geïnfecteerd met de WannaCry-ransomware, is de kans groot dat u veel van de gecodeerde bestanden kunt herstellen. Om dit te doen, kunt u gratis hulpprogramma's voor bestandsherstel gebruiken.
Als er een sms-bericht op uw computer verschijnt waarin staat dat uw bestanden gecodeerd zijn, raak dan niet in paniek. Wat zijn de symptomen van bestandsversleuteling? De gebruikelijke extensie verandert in *.vault, *.xtbl, * [e-mailadres beveiligd] _XO101, enz. De bestanden kunnen niet worden geopend. Er is een sleutel vereist, die u kunt kopen door een brief te sturen naar het adres dat in het bericht is opgegeven.
Waar heb je de gecodeerde bestanden vandaan?
De computer heeft een virus opgelopen dat de toegang tot informatie blokkeerde. Antivirusprogramma's missen ze vaak omdat het programma meestal gebaseerd is op een onschadelijk gratis coderingshulpprogramma. U verwijdert het virus zelf snel genoeg, maar er kunnen ernstige problemen optreden bij het decoderen van de informatie.
Technische ondersteuning van Kaspersky Lab, Dr.Web en andere bekende bedrijven die antivirussoftware ontwikkelen, in reactie op gebruikersverzoeken om gegevens te decoderen, meldt dat het onmogelijk is om dit binnen een acceptabele tijd te doen. Er zijn verschillende programma's die de code kunnen oppikken, maar deze kunnen alleen werken met eerder onderzochte virussen. Als u een nieuwe wijziging tegenkomt, is de kans dat u de toegang tot informatie herstelt uiterst klein.
Hoe komt een ransomware-virus op een computer terecht?
In 90% van de gevallen activeren gebruikers zelf het virus op hun computer, het openen van onbekende brieven. Vervolgens wordt er een bericht naar e-mail gestuurd met een provocerend onderwerp - "Dagvaarding", "Leningsschuld", "Melding van de belastingdienst", enz. In de valse brief zit een bijlage, na het downloaden komt de ransomware op de computer terecht en begint geleidelijk de toegang tot de bestanden te blokkeren.
De codering gebeurt niet onmiddellijk, dus gebruikers hebben de tijd om het virus te verwijderen voordat alle informatie is gecodeerd. U kunt een kwaadaardig script vernietigen met de schoonmaakhulpprogramma's Dr.Web CureIt, Kaspersky Internet Security en Malwarebytes Antimalware.
Methoden voor bestandsherstel
Als systeembescherming op uw computer is ingeschakeld, bestaat er zelfs na de gevolgen van een ransomware-virus een kans om bestanden terug te brengen naar hun normale staat met behulp van schaduwkopieën van bestanden. Ransomware probeert ze meestal te verwijderen, maar soms lukt dit niet vanwege een gebrek aan beheerdersrechten.
Een eerdere versie herstellen:
Om eerdere versies te kunnen opslaan, moet u systeembeveiliging inschakelen.
Belangrijk: de systeembescherming moet ingeschakeld zijn voordat de ransomware verschijnt, waarna deze niet meer helpt.
- Open Computereigenschappen.
- Selecteer Systeembeveiliging in het menu aan de linkerkant.
- Selecteer station C en klik op "Configureren".
- Kies ervoor om instellingen en eerdere versies van bestanden te herstellen. Pas de wijzigingen toe door op "Ok" te klikken.
Als u deze stappen heeft uitgevoerd voordat het bestandsversleutelende virus verscheen, heeft u, nadat u uw computer van schadelijke code heeft gereinigd, een goede kans om uw gegevens te herstellen.
Speciale hulpprogramma's gebruiken
Kaspersky Lab heeft verschillende hulpprogramma's gemaakt om gecodeerde bestanden te helpen openen nadat het virus is verwijderd. De eerste decryptor die u moet proberen is Kaspersky RectorDecryptor.
- Download het programma van de officiële Kaspersky Lab-website.
- Voer vervolgens het hulpprogramma uit en klik op "Scan starten". Geef het pad op naar elk gecodeerd bestand.
Als het kwaadaardige programma de extensie van de bestanden niet heeft gewijzigd, moet u ze in een aparte map verzamelen om ze te decoderen. Als het hulpprogramma RectorDecryptor is, download dan nog twee programma's van de officiële Kaspersky-website: XoristDecryptor en RakhniDecryptor. 
Het nieuwste hulpprogramma van Kaspersky Lab heet Ransomware Decryptor. Het helpt bij het decoderen van bestanden na het CoinVault-virus, dat nog niet erg wijdverspreid is op RuNet, maar binnenkort andere Trojaanse paarden kan vervangen.
Het WannaCry-virus is een ransomwareprogramma dat de EternalBlue-exploit gebruikt om computers met het Microsoft Windows-besturingssysteem te infecteren. De ransomware is ook bekend als WannaCrypt0r, WannaCryptor, WCry en Wana Decrypt0r. Zodra het de doelcomputer bereikt, worden alle bestanden snel gecodeerd en voorzien van een van de volgende extensies: .wcry, .wncryt En .wncry.
Het virus maakt de gegevens onbruikbaar met behulp van sterke encryptie, verandert de bureaubladachtergrond, creëert een losgeldbriefje “Lees mij!.txt” en start vervolgens een programmavenster met de naam “WannaDecrypt0r” waarin wordt gemeld dat de bestanden op de computer zijn gecodeerd. De malware roept het slachtoffer op om een losgeld van $300 tot $600 in Bitcoin te betalen en belooft alle bestanden te verwijderen als het slachtoffer het geld niet binnen zeven dagen betaalt.
De malware verwijdert schaduwkopieën om herstel van versleutelde gegevens te voorkomen. Bovendien gedraagt ransomware zich als een worm, omdat het, zodra het op de doelcomputer terechtkomt, op zoek gaat naar andere computers om te infecteren.
Hoewel het virus belooft uw bestanden na betaling te herstellen, is er geen reden om criminelen te vertrouwen. Het siteteam raadt aan om ransomware in de veilige modus te verwijderen met behulp van netwerkstuurprogramma's en anti-malwareprogramma's zoals .
Cybercriminelen gebruikten deze ransomware bij een grootschalige cyberaanval die op vrijdag 12 mei 2017 werd gelanceerd. Volgens recente rapporten heeft de kwaadaardige aanval met succes meer dan 230.000 computers in meer dan 150 landen getroffen.
De impact van een cyberaanval is groot, aangezien het virus zich richt op organisaties uit verschillende sectoren, waarbij de gezondheidszorg het zwaarst getroffen lijkt te worden. Als gevolg van de aanval werden verschillende ziekenhuisdiensten opgeschort en werden honderden operaties geannuleerd. Volgens rapporten waren Telefónica, Gas Natural en Iberdrola de eerste grote bedrijven die door de overname werden getroffen.
Van sommige van de getroffen bedrijven was een back-up van de gegevens gemaakt, terwijl andere met tragische gevolgen te maken kregen. Zonder uitzondering wordt alle slachtoffers geadviseerd om WannaCry zo snel mogelijk te verwijderen, omdat dit verdere verspreiding van de ransomware kan helpen voorkomen.
WannaCry verspreidt zich via de EternalBlue-exploit
De belangrijkste infectievector van de WannaCry-ransomware is de EternalBlue-exploit, cyberspyware die is gestolen van de Amerikaanse National Security Agency (NSA) en online is gepubliceerd door een groep hackers die bekend staat als Shadow Brokers.
De EternalBlue-aanval richt zich op de Windows CVE-2017-0145-kwetsbaarheid in het Microsoft SMB-protocol (Server Message Block). Het beveiligingslek is nu gepatcht, volgens Microsoft-beveiligingsbulletin MS17-010 (uitgebracht op 14 mei 2017). De exploitcode die door de uitvoerders werd gebruikt, was bedoeld om oudere Windows 7- en Windows Server 2008-systemen te infecteren, maar Windows 10-gebruikers zouden naar verluidt niet door het virus worden getroffen.
De malware komt meestal in de vorm van een Trojan-dropper die een reeks exploits en de ransomware zelf bevat. De dropper probeert vervolgens verbinding te maken met een van de externe servers om de ransomware naar de computer te downloaden. De nieuwste versies van WannaCry worden gedistribueerd via vriendinbeautiful[.]ga/hotgirljapan.jpg?i =1 in de APAC-regio. Ransomware kan iedereen treffen die geen kennis heeft over de verspreiding van ransomware. Daarom raden we u aan deze gids te lezen over het voorkomen van WannaCry-ransomware, opgesteld door onze experts:
- Installeer de systeembeveiligingsupdate MS17-010, onlangs uitgebracht door Microsoft, die de kwetsbaarheid zal verhelpen die door de ransomware wordt uitgebuit. Updates zijn exclusief uitgebracht voor oudere besturingssystemen zoals Windows XP of Windows 2003.
- Blijf op de hoogte van updates voor andere computerprogramma's.
- Installeer een betrouwbaar antivirusprogramma om uw computer te beschermen tegen illegale pogingen om uw systeem met malware te infecteren.
- Open nooit e-mails die afkomstig zijn van vreemden of bedrijven waarmee u geen zaken doet.
- Schakel SMBv1 uit met behulp van de instructies van Microsoft.
De onderzoeker laat screenshots zien die zijn gemaakt tijdens de WannaCry-aanval. U kunt het Wanna Decrypt0r-venster zien, evenals de afbeelding die door WannaCry is ingesteld als uw bureaubladachtergrond nadat u het systeem heeft geïnfecteerd en alle bestanden erop heeft gecodeerd. 
Methode 1. (Veilige modus)
Selecteer "Veilige modus met netwerkmogelijkheden" 
Methode 1. (Veilige modus)
Selecteer 'Veilige modus met netwerkmogelijkheden inschakelen' 
Selecteer "Veilige modus met opdrachtprompt" 
Methode 2. (Systeemherstel)
Selecteer "Veilige modus inschakelen met opdrachtprompt" 
Methode 2. (Systeemherstel)
Typ "cd herstel" zonder aanhalingstekens en druk op "Enter" 
Methode 2. (Systeemherstel)
Typ "rstrui.exe" zonder aanhalingstekens en druk op "Enter" 
Methode 2. (Systeemherstel)
In het venster "Systeemherstel" dat verschijnt, selecteert u "Volgende" 
Methode 2. (Systeemherstel)
Selecteer uw herstelpunt en klik op "Volgende" 
Methode 2. (Systeemherstel)
Klik op "Ja" en begin met systeemherstel ⇦ ⇨
Dia 1 van 10
WannaCry-versies
Het virus gebruikt het cryptografische AES-128-cijfer om bestanden veilig te vergrendelen, voegt de bestandsextensie .wcry toe aan hun naam en vraagt om 0,1 Bitcoin over te dragen naar de meegeleverde virtuele portemonnee. De malware werd aanvankelijk verspreid via spam-e-mails; Dit specifieke virus genereerde echter niet veel inkomsten voor de ontwikkelaars. Ondanks het feit dat de door deze ransomware versleutelde bestanden onherstelbaar bleken te zijn zonder decoderingssleutel, besloten de ontwikkelaars het kwaadaardige programma te updaten.
WannaCrypt0r ransomware-virus. Dit is een andere naam voor de bijgewerkte versie van de ransomware. De nieuwe versie richt zich op Windows-kwetsbaarheden als de belangrijkste aanvalsvector en codeert alle bestanden die op het systeem zijn opgeslagen binnen enkele seconden. Geïnfecteerde bestanden kunnen worden herkend aan de hand van extensies die direct na de oorspronkelijke bestandsnaam aan de bestandsnaam worden toegevoegd: .wncry, wncryt of .wcry.
Er is geen manier om beschadigde gegevens te herstellen zonder back-ups of een privésleutel die is gemaakt tijdens het gegevensversleutelingsproces. Het virus vraagt normaal gesproken 300 dollar, maar verhoogt het losgeld tot 600 dollar als het slachtoffer het geld niet binnen drie dagen betaalt.
Ransomware-virus WannaDecrypt0r. WannaDecrypt0r is een programma dat door het virus wordt uitgevoerd nadat het met succes het doelsysteem heeft geïnfiltreerd. Onderzoekers hebben al gemerkt dat versies van Wanna Decryptor 1.0 en Wanna Decryptor 2.0 slachtoffers naderen.
De malware toont een aftelklok die aangeeft hoeveel tijd er nog is om het losgeld te betalen voordat de prijs het maximum bereikt, evenals een identieke aftelklok die aangeeft hoeveel tijd er nog rest totdat het virus alle gegevens van een computer verwijdert. Deze versie schokte de virtuele gemeenschap op 12 mei 2017, maar werd een paar dagen later tegengehouden door een beveiligingsonderzoeker die de naam MalwareTech draagt.
