In dit artikel leert u wat u moet doen als uw computer wordt aangevallen door het Wanna Cry-virus, en welke acties u moet ondernemen om te voorkomen dat uw bestanden op uw harde schijf verloren gaan.

Wcrypt-virus is ransomware die alle bestanden op geïnfecteerde computers of netwerken vergrendelt en losgeld vraagt ​​in ruil voor een oplossing voor gegevensherstel.

De eerste versies van dit virus verschenen in februari 2017 en hebben nu verschillende namen, zoals WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 of zelfs DarkoderCrypt0r.

Zodra dit gevaarlijke programma een computersysteem binnensluipt, codeert het binnen enkele seconden alle gegevens die erop zijn opgeslagen. Tijdens deze procedure kan het virus de bestandsextensie .Wcrypt aan de getroffen bestanden toevoegen.

Van andere versies van dit virus is bekend dat ze de bestandsextensies .wcry of .wncry toevoegen. Het doel van deze versleutelingsprocedure is om de gegevens van het slachtoffer onbruikbaar te maken en losgeld te eisen. Het slachtoffer kan de ransomware-tool gemakkelijk negeren als hij een back-up van zijn gegevens heeft.

In de meeste gevallen vergeten computergebruikers echter tijdig kopieën van gegevens te maken. In een dergelijk geval is de enige manier om uw gecodeerde bestanden te herstellen het betalen van de cybercriminelen, maar we raden u ten zeerste aan dit niet te doen.

Houd er rekening mee dat oplichters doorgaans geen interesse hebben in interactie met het slachtoffer nadat ze het losgeld hebben ontvangen, omdat ze alleen maar op zoek zijn naar geld. In plaats daarvan raden we aan de ransomware te verwijderen met behulp van anti-malwaretools zoals Reimage of Plumbytes, volgens de Wcrypt-verwijderingsgids die we hieronder hebben gegeven.

Nadat alle bestanden van het doelsysteem zijn gecodeerd, verandert het virus de bureaubladachtergrond in een zwarte afbeelding met een tekst die aangeeft dat de gegevens die op de computer zijn opgeslagen, zijn gecodeerd.

De afbeelding, vergelijkbaar met de nieuwste versies van Cryptolocker, legt uit hoe u het bestand kunt herstellen @WanaDecryptor.exe, als het antivirusprogramma het in quarantaine plaatst. De malware lanceert vervolgens een bericht naar het slachtoffer met de tekst: "Oh, je bestanden zijn gecodeerd!" En biedt het adres van de Bitcoin-portemonnee, het losgeldbedrag (vanaf $ 300) en instructies voor het kopen van Bitcoin. Het virus accepteert alleen losgeld in Bitcoin-cryptocurrency.

Het slachtoffer moet dit echter binnen drie dagen na besmetting betalen. Het virus belooft ook alle versleutelde bestanden te verwijderen als het slachtoffer niet binnen een week betaalt. Daarom raden wij u aan Wcrypt zo snel mogelijk te verwijderen, zodat de bestanden op uw computer of laptop niet beschadigd raken.

Hoe verspreidt het Wcrypt-virus zich?

Wcrypt, ook bekend als WansCry-ransomware, schokte de virtuele gemeenschap op 12 mei 2017. Op deze dag werd een enorme cyberaanval uitgevoerd tegen Microsoft Windows-gebruikers. De aanvallers gebruikten de EternalBlue-exploit om computersystemen te infecteren en alle bestanden van het slachtoffer te bemachtigen.

Bovendien werkt het voordeel zelf als een taak die naar aangesloten computers zoekt en ernaar repliceert. Hoewel het erop lijkt dat de ransomware zich momenteel niet langer op nieuwe slachtoffers richt (aangezien een beveiligingsonderzoeker de cyberaanval per ongeluk heeft gestopt), melden experts dat het nog te vroeg is om feest te vieren.

Malware-auteurs verbergen mogelijk een andere manier om het virus te verspreiden, dus computergebruikers moeten alle mogelijke maatregelen nemen om hun computer tegen een dergelijke cyberaanval te beschermen. Hoewel we over het algemeen aanbevelen om software te installeren om uw pc tegen malware te beschermen en alle programma's erop regelmatig bij te werken.

Het vermelden waard dat wij, net als iedereen, aanbevelen een kopie van uw waardevolle gegevens te maken en deze over te dragen naar een extern opslagapparaat.

Hoe het Wcrypt-virus verwijderen? Wat moet ik doen als Wcrypt op mijn computer verschijnt?

Om de bovengenoemde redenen moet u het Wcrypt-virus zo snel mogelijk verwijderen. Het is niet veilig om een ​​computer op het systeem te laten staan, omdat deze zich snel kan repliceren op andere computers of draagbare apparaten als iemand deze op een besmette pc aansluit.

De veiligste manier om de verwijdering van Wcrypt te voltooien is door een volledige systeemscan uit te voeren met behulp van antivirussoftware. Om het uit te voeren, moet u eerst uw computer voorbereiden. Volg deze instructies om het virus volledig te verwijderen.

Methode 1: Verwijder WCrypt in de veilige modus via het netwerk

• Stap 1: Start uw computer opnieuw op in de veilige modus via netwerkmogelijkheden.

Windows 7/Vista/XP

1. Klik Begin → Schakel uit → Opnieuw opstarten → OK.
2. Wanneer het scherm verschijnt, begint u met drukken F8 .
3. Selecteer uit de lijst Veilige modus met laden van netwerkstuurprogramma's.

Windows 10/Windows 8

1. Verschuiving "Opnieuw opstarten."
2. Selecteer nu "Problemen oplossen" → "Geavanceerde opties" → "Opstartinstellingen" en druk op .
3. “Veilige modus inschakelen terwijl netwerkstuurprogramma’s worden geladen” in het raam "Opstartopties".

• Stap 2: Verwijder WCrypt

Log in op uw geïnfecteerde account en start uw browser.

of een ander legitiem antispywareprogramma. Update het vóór een volledige systeemscan en verwijder kwaadaardige bestanden.

Als WCrypt de veilige modus blokkeert bij het laden van netwerkstuurprogramma's, probeer dan een andere methode.

• Methode 2: Verwijder WCrypt met Systeemherstel

Windows 7/Vista/XP

1. Klik Begin → Stap 1: Start uw computer opnieuw op in de veilige modus met behulp van de opdrachtprompt. → Afsluiten → OK.
2. Opnieuw opstarten F8 Wanneer uw computer actief wordt, begint u met klikken meerdere keren totdat je een venster ziet.
3. "Geavanceerde opstartopties" Selecteer"Veilige modus met opdrachtregelondersteuning"

Windows 10/Windows 8

1. uit de lijst. Verschuiving Druk op de aan/uit-knop op het Windows-inlogscherm. Houd nu ingedrukt , dat zich op uw toetsenbord bevindt, en druk op.
2. Selecteer nu "Problemen oplossen" → "Geavanceerde opties" → "Opstartinstellingen" en druk op .
3. "Opnieuw opstarten" Zodra uw computer actief is, selecteert u in het raam "Opstartopties".

• "Veilige modus inschakelen met opdrachtregelondersteuning"

1. Stap 2: Herstel systeembestanden en instellingen. Wanneer het opdrachtpromptvenster verschijnt, typt u cd herstellen en druk op

Binnenkomen. 2. Voer nu in rstrui.exe en druk op

en druk opnieuw 3. Wanneer een nieuw venster verschijnt, klikt u op"Volgende" en selecteer een herstelpunt voorafgaand aan de WCrypt-infiltratie. Daarna klik

"Volgende." 4. Klik nu"Ja"

om het proces voort te zetten. 5. Klik daarna op de knop"Klaar"

• om Systeemherstel te starten.

Nadat u het systeem naar een eerdere datum hebt hersteld, start en scant u uw computer met Reimage en controleert u of de verwijdering van WCrypt succesvol was.

We hopen dat dit artikel je heeft geholpen het probleem met het WCrypt-virus op te lossen!

Video: Het Wanna Cry-virus blijft computersystemen over de hele wereld infecteren

Het Wanna Cry-virus is een nieuw type hackeraanval, een kwaadaardig ransomwareprogramma dat pc- en internetgebruikers over de hele wereld heeft geschokt. Hoe werkt het Wanna Cry-virus, kun je jezelf ertegen beschermen, en zo ja, hoe? Wanna Cry-virus, beschrijving – type malware dat tot de categorie behoort RansomWare , ransomware. Wanneer het op de harde schijf van het slachtoffer terechtkomt, handelt Wanna Cry volgens het script van zijn ‘collega’s’, zoals, waarbij alle persoonlijke gegevens van alle bekende extensies worden gecodeerd. Wanneer de gebruiker een bestand probeert te bekijken, ziet de gebruiker op het scherm een ​​vereiste om het zoveelste bedrag te betalen, waarna de aanvaller zogenaamd instructies zal sturen om te ontgrendelen.

Vaak wordt geld afgeperst via sms-aanvulling van een speciaal aangemaakt account, maar recentelijk wordt hiervoor een anonieme betalingsdienst gebruikt BitCoin.

Wanna Cry-virus - hoe het werkt. Wanna Cry is een programma genaamd WanaCrypt0r 2.0, dat uitsluitend pc's met Windows aanvalt. Het programma gebruikt een “gat” in het systeem om binnen te dringen - Microsoft-beveiligingsbulletin MS17-010, waarvan het bestaan ​​voorheen onbekend was. Op dit moment is het niet met zekerheid bekend hoe hackers de MS17-010-kwetsbaarheid hebben ontdekt. Er is een versie over sabotage door fabrikanten van antivirussoftware om de vraag op peil te houden, maar natuurlijk schrijft niemand de intelligentie van de hackers zelf af.

Helaas wordt het Wanna Cry-virus op de eenvoudigste manier verspreid: via e-mail. Zodra u een spam-e-mail opent, wordt de encryptor gestart en zijn de gecodeerde bestanden vrijwel onmogelijk te herstellen.

Wanna Cry-virus - hoe u uzelf kunt beschermen, behandeling. WanaCrypt0r 2.0 valt aan met behulp van kwetsbaarheden in Windows-netwerkservices. Het is bekend dat Microsoft al een "patch" heeft uitgebracht - voer gewoon de update uit Windows-update naar de nieuwste versie. Het is vermeldenswaard dat alleen gebruikers die een gelicentieerde versie van Windows hebben gekocht hun computer en gegevens kunnen beschermen. Als ze proberen een illegale versie bij te werken, zal het systeem de test eenvoudigweg niet doorstaan. Het is ook noodzakelijk om te onthouden dat Windows XP niet langer wordt bijgewerkt, zoals uiteraard eerdere versies.

Je kunt jezelf tegen Wanna Cry beschermen door een paar eenvoudige regels te volgen:

• update het systeem op tijd - alle geïnfecteerde pc's zijn niet bijgewerkt
• gebruik een gelicentieerd besturingssysteem
• open geen verdachte e-mails
• klik niet op dubieuze links die zijn achtergelaten door onbetrouwbare gebruikers

Volgens berichten in de media zullen fabrikanten van antivirussoftware updates uitbrengen om Wanna Cry te bestrijden, dus het updaten van uw antivirus mag niet worden uitgesteld.

Het Wanna Cry-virus is een echte nachtmerrie geworden voor een half miljoen gebruikers over de hele wereld. Niet alleen gewone gebruikers, maar ook organisaties hebben eronder geleden.

Nog maar een paar weken geleden explodeerde het wereldwijde internet met nieuws over de opkomst van een nieuwe technologische dreiging, waarvoor op dat moment geen remedie bestond. Het Wanna Cry-virus drong door tot meer dan 500.000 computers en legde hun werk volledig lam. Wat voor soort bedreiging is deze ongekende kracht en is er enige redding mogelijk? Laten we proberen het uit te zoeken.

Wanna Cry-virus - beschrijving

Letterlijk vertaald betekent de zinsnede Wanna Cry ‘Ik wil huilen’. En echt, hoe kun je je tranen bedwingen als een gemene netwerkworm het besturingssysteem van de computer blokkeert, waardoor de gebruiker letterlijk niets meer kan doen, en als losgeld de Wanna Cry-ransomware een aanbetaling van $300, in bitcoin-equivalent, vraagt ​​aan een bepaalde elektronische portemonnee. Dat wil zeggen dat het onmogelijk is om de auteur van de ransomware te traceren met behulp van de gebruikelijke zoekmethoden naar netwerkaanvallers.

De meest massale aanval vond plaats op 12 mei van dit jaar. Meer dan zeventig landen werden getroffen, en zoals nu bekend was, was het Wanna Cry-encryptievirus vooral actief in Rusland, Oekraïne en India. Dit zijn de landen waar de meeste slachtoffers vallen. Maar de meesten van hen zijn gewone gebruikers, maar in de landen van Europa en Amerika ‘gingen’ hackers via overheidsinstanties. Ziekenhuizen, telecommunicatiebedrijven en zelfs overheidsinstanties werden gedwongen hun activiteiten op te schorten omdat computers waren geïnfecteerd met ransomware. Om eerlijk te zijn is het vermeldenswaard dat in de Russische Federatie veel bedrijven en gemeentelijke organisaties werden aangevallen, maar blijkbaar bleek het Russische anti-hackerbeschermingssysteem betrouwbaarder dan het buitenlandse. Zo waren er berichten over pogingen om de informatiesystemen van de Russische Spoorwegen, het Ministerie van Binnenlandse Zaken, het Ministerie van Noodsituaties, de Centrale Bank en communicatiebedrijven te hacken. Maar overal werd de worm snel gelokaliseerd, of waren pogingen om institutionele pc's binnen te dringen niet succesvol.

Hoe ontstaat een Wanna Cry-virusinfectie?

Iedereen vraagt ​​zich af hoe het Wanna Cry-virus zich verspreidt? Waarom zijn zoveel gebruikers het slachtoffer geworden?

De distributiemethode voor ransomware is heel, heel eenvoudig. Het virus scant knooppunten rechtstreeks in open bronnen op internet, waar kan worden gezien of de TCP 445-poort, die verantwoordelijk is voor het onderhoud van het Remote File Access Protocol (SMBv1), open is. Als een dergelijke computer wordt gedetecteerd, probeert de malware misbruik te maken van de EternalBlue-kwetsbaarheid en als deze gebeurtenis succesvol is, wordt de DoublePulsar-achterdeur geïnstalleerd. Hiermee wordt de uitvoerbare code gedownload naar de geselecteerde computer. Er kunnen opties zijn als de achterdeur standaard al in het systeem is geïnstalleerd, waarna de taak van het virus nog eenvoudiger wordt: eenvoudigweg kwaadaardige informatie naar de computer van de gebruiker downloaden.

Opmerkelijk is dat het virus ook via e-mail een pc kan binnendringen, samen met bestanden die zogenaamd geen argwaan wekken.

Hoe werkt het Wanna Cry-virus?

Anders gedraagt ​​het ransomware-virus zich als elk ander soortgelijk virus. Dus voor elk apparaat genereert het zijn eigen sleutelparen, waarna het het hele systeem ‘doorgeeft’, bestanden van bepaalde typen selecteert en deze versleutelt met behulp van het AES-128-CBC-algoritme met behulp van een willekeurig gegenereerde sleutel, die op zijn beurt , is gecodeerd met behulp van een openbare RSA-sleutel. Dit is wat het Wanna Cry-virus aangeeft in de header van het gecodeerde bestand. Daarom blijkt behandeling volgens het klassieke schema nutteloos. Er is een speciale aanpak nodig.

Hoe u uzelf kunt beschermen tegen het Wanna Cry-virus

Bescherming tegen het wanna cry-virus is niet zo ingewikkeld als het op het eerste gezicht lijkt. Je hoeft alleen maar de patch van Microsoft tegen het Wanna Cry-virus te downloaden.

De ontwikkelaars deden hun best en brachten snel, letterlijk in twee dagen, speciale extensies/updates uit voor absoluut alle actieve versies van Windows, inclusief XP, dat nog steeds veel gebruikers over de hele wereld heeft.

Dit is een manier om besmetting te voorkomen bij een mogelijke volgende aanval door het Wanna Cry-virus. Maar wat moeten degenen wier computers al zijn gehackt, doen? Helaas is het onmogelijk om nog iets geruststellends te zeggen, omdat nog niemand de beschadigde bestanden heeft kunnen decoderen. Maar je kunt je in ieder geval voorbereiden op een mogelijke aanval. Dus als de ‘patch’ van probleemgebieden van Microsoft een worm detecteert, zal het zeker vragen wat ermee te doen. Over het algemeen is het principe hetzelfde als dat van honderden antivirusprogramma's.

Daarom is het antwoord op de vraag hoe je het Wanna Cry-virus kunt verwijderen wellicht het enige en niet het meest rooskleurige: voorkom simpelweg dat de kwaadaardige uitvoerende code je computer binnendringt. En wacht natuurlijk tot toonaangevende ontwikkelaars een krachtig antivirusprogramma bieden dat Wanna Cry kan weerstaan.

Mei 2017 zal de geschiedenis ingaan als een donkere dag voor de informatiebeveiligingsdienst. Op deze dag leerde de wereld dat een veilige virtuele wereld kwetsbaar en kwetsbaar kan zijn. Een ransomware-virus genaamd Wanna decryptor of wannacry heeft meer dan 150.000 computers over de hele wereld veroverd. In meer dan honderd landen zijn gevallen van infectie geregistreerd. Natuurlijk is de wereldwijde infectie gestopt, maar de schade loopt in de miljoenen. Golven van ransomware treffen nog steeds enkele individuele machines, maar de plaag is tot nu toe onder controle gebracht en gestopt.

WannaCry – wat is het en hoe kun je jezelf ertegen beschermen

Wanna decryptor behoort tot een groep virussen die gegevens op een computer versleutelen en geld van de eigenaar afpersen. Normaal gesproken varieert de hoeveelheid losgeld voor uw gegevens van $300 tot $600. Binnen een dag slaagde het virus erin een gemeentelijk netwerk van ziekenhuizen in Groot-Brittannië, een groot televisienetwerk in Europa en zelfs een deel van de computers van het Russische ministerie van Binnenlandse Zaken te infecteren. Ze stopten dit dankzij een gelukkige samenloop van omstandigheden door een verificatiedomein te registreren dat door de makers ervan in de viruscode was ingebouwd om de verspreiding handmatig te stoppen.

Een virus infecteert een computer op dezelfde manier als in de meeste andere gevallen. Het versturen van brieven, sociale profielen en in wezen gewoon surfen - deze methoden geven het virus de kans om uw systeem binnen te dringen en al uw gegevens te coderen, maar het kan zonder uw expliciete acties binnendringen via een systeemkwetsbaarheid en een open poort.

WannaCry dringt binnen via poort 445 en maakt gebruik van een kwetsbaarheid in het Windows-besturingssysteem, die onlangs werd gedicht door uitgebrachte updates. Dus als deze poort voor jou gesloten is of als je onlangs Windows hebt bijgewerkt vanaf kantoor. site, dan hoeft u zich geen zorgen te maken over infectie.

Het virus werkt volgens het volgende schema: in plaats van gegevens in uw bestanden ontvangt u onbegrijpelijke kronkels in de taal van Mars, maar om weer een normale computer te krijgen, moet u de aanvallers betalen. Degenen die deze plaag op de computers van gewone mensen hebben losgelaten, gebruiken bitcoins om te betalen, dus het zal niet mogelijk zijn om de eigenaren van de kwaadaardige Trojan te identificeren. Als u niet binnen 24 uur betaalt, wordt het losgeldbedrag verhoogd.

De nieuwe versie van de Trojan vertaalt zich als “Ik wil huilen” en het verlies van gegevens kan sommige gebruikers tot tranen toe brengen. Het is dus beter om preventieve maatregelen te nemen en infectie te voorkomen.

De ransomware maakt misbruik van een kwetsbaarheid in Windows die Microsot al heeft verholpen. U hoeft alleen maar uw besturingssysteem bij te werken naar beveiligingsprotocol MS17-010 van 14 maart 2017.

Overigens kunnen alleen gebruikers met een gelicentieerd besturingssysteem updaten. Als u niet tot deze mensen behoort, download dan eenvoudigweg het updatepakket en installeer het handmatig. U hoeft alleen maar te downloaden van vertrouwde bronnen om geen infectie op te lopen in plaats van preventie.

Natuurlijk kan de bescherming van het hoogste niveau zijn, maar veel hangt van de gebruiker zelf af. Vergeet niet om geen verdachte links te openen die via e-mail of op uw sociale profiel naar u toe komen.

Hoe het Wanna decryptor-virus te genezen

Degenen van wie de computers al zijn geïnfecteerd, moeten zich voorbereiden op een lang behandelingsproces.

Het virus draait op de computer van de gebruiker en creëert verschillende programma's. Eén van hen begint gegevens te versleutelen, de ander zorgt voor de communicatie met ransomware. Op uw werkmonitor verschijnt een inscriptie waarin wordt uitgelegd dat u het slachtoffer bent geworden van een virus en wordt aangeboden snel geld over te maken. Tegelijkertijd kun je geen enkel bestand openen en bestaan ​​​​de extensies uit onbegrijpelijke letters.

De eerste actie die de gebruiker probeert te ondernemen is gegevensherstel met behulp van de services die in Windows zijn ingebouwd. Maar wanneer u het commando uitvoert, gebeurt er niets of zijn uw inspanningen tevergeefs - het verwijderen van Wanna Decryptor is niet zo eenvoudig.

Een van de gemakkelijkste manieren om een ​​virus te genezen is door het systeem simpelweg opnieuw te installeren. In dit geval verliest u niet alleen de gegevens die op de schijf stonden met het geïnstalleerde systeem. Voor een volledig herstel moet u immers de volledige harde schijf formatteren. Als u niet klaar bent om zulke drastische stappen te ondernemen, kunt u proberen het systeem handmatig te herstellen:

1. Download de systeemupdate die hierboven in het artikel wordt beschreven.
2. Verbreek vervolgens de verbinding met internet
3. We starten de cmd-opdrachtregel en blokkeren poort 445, waardoor het virus de computer binnendringt. Dit gebeurt met het volgende commando:
   netsh advfirewall firewall regel toevoegen dir=in actie=blokprotocol=tcp localport=445 naam=»Block_TCP-445″
4. Vervolgens starten we het systeem in de veilige modus. Houd tijdens het laden F8 ingedrukt, het systeem zal u zelf vragen hoe u de computer precies moet opstarten. U moet "Veilige modus" selecteren.
5. We vinden en verwijderen de map met het virus. U kunt deze vinden door op de virussnelkoppeling te klikken en op “Bestandslocatie” te klikken.
6. We starten de computer opnieuw op in de normale modus en installeren de update voor het systeem dat we hebben gedownload, zetten internet aan en installeren deze.

Wil je huilen – hoe bestanden te decoderen

Als je alle manifestaties van het virus volledig hebt verwijderd, is het tijd om te beginnen met het decoderen van de gegevens. En als je denkt dat het moeilijkste deel voorbij is, dan vergis je je heel erg. Er is zelfs een geval in de geschiedenis waarbij de makers van de ransomware zelf niet in staat waren de gebruiker te helpen die hen had betaald en hem naar de technische ondersteuningsdienst voor antivirus had gestuurd.

De beste optie is om alle gegevens en . Maar als zo'n kopie niet bestaat, zul je moeten kronkelen. Decoderingsprogramma's zullen u helpen. Het is waar dat geen enkel programma honderd procent resultaten kan garanderen.

Er zijn verschillende eenvoudige programma's die gegevensdecodering aankunnen, bijvoorbeeld Shadow Explorer of Windows Data Recovery. Het is ook de moeite waard om eens naar Kaspersky Lab te kijken, dat periodiek decryptors uitbrengt - http://support.kaspersky.ru/viruses/utility

Heel belangrijk! Voer decryptorprogramma's pas uit nadat u alle manifestaties van het virus hebt verwijderd, anders loopt u het risico het systeem te beschadigen of opnieuw gegevens te verliezen.

Wanna decryptor liet zien hoe kwetsbaar het beveiligingssysteem van een grote onderneming of zelfs overheidsinstantie kan zijn. De maand mei is dus voor veel landen indicatief geworden. Overigens werden bij het Russische Ministerie van Binnenlandse Zaken alleen de machines getroffen die Windows gebruikten, maar de computers waarop het in Rusland ontwikkelde besturingssysteem Elbrus was geïnstalleerd, waren niet beschadigd.

Met welke behandelmethoden heeft Wanna decryptor u geholpen? Schrijf een reactie op dit artikel en deel het met anderen.

Abonneer je op nieuwe artikelen zodat je niets mist!

WannaCry is een speciaal programma dat alle gegevens in het systeem blokkeert en de gebruiker slechts twee bestanden overlaat: instructies over wat hij vervolgens moet doen, en het Wanna Decryptor-programma zelf - een hulpmiddel voor het ontsluiten van gegevens.

De meeste computerbeveiligingsbedrijven beschikken over decryptietools die de software kunnen omzeilen. Voor gewone stervelingen is de methode van ‘behandeling’ nog onbekend.

WannaCry-decryptor ( of WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), wordt nu al het ‘virus van 2017’ genoemd. En helemaal niet zonder reden. Alleen al in de eerste 24 uur vanaf het moment dat de ransomware zich begon te verspreiden, infecteerde deze ransomware meer dan 45.000 computers. Sommige onderzoekers denken dat er op dit moment (15 mei) al meer dan een miljoen computers en servers zijn geïnfecteerd. Laten we u eraan herinneren dat het virus zich op 12 mei begon te verspreiden. De eerste getroffenen waren gebruikers uit Rusland, Oekraïne, India en Taiwan. Momenteel verspreidt het virus zich met hoge snelheid in Europa, de VS en China.

Informatie werd gecodeerd op computers en servers van overheidsinstanties (met name het Russische ministerie van Binnenlandse Zaken), ziekenhuizen, transnationale bedrijven, universiteiten en scholen.

Wana Decryptor (Wanna Cry of Wana Decrypt0r) legde het werk van honderden bedrijven en overheidsinstanties over de hele wereld lam

In wezen is WinCry (WannaCry) een exploit van de EternalBlue-familie, die gebruik maakt van een vrij oude kwetsbaarheid in het Windows-besturingssysteem (Windows XP, Windows Vista, Windows 7, Windows 8 en Windows 10) en zichzelf stilletjes in het systeem laadt. Vervolgens worden met behulp van decoderingsbestendige algoritmen gebruikersgegevens (documenten, foto's, video's, spreadsheets, databases) gecodeerd en wordt losgeld gevraagd voor het decoderen van de gegevens. Het schema is niet nieuw, we schrijven voortdurend over nieuwe soorten bestandsencryptors - maar de distributiemethode is nieuw. En dit leidde tot een epidemie.

Hoe het virus werkt

De malware scant het internet op hosts die op zoek zijn naar computers met open TCP-poort 445, die verantwoordelijk is voor het onderhoud van het SMBv1-protocol. Nadat het programma zo'n computer heeft gedetecteerd, doet het programma verschillende pogingen om de EternalBlue-kwetsbaarheid erop te misbruiken en, indien succesvol, installeert het de DoublePulsar-achterdeur, via welke de uitvoerbare code van het WannaCry-programma wordt gedownload en gestart. Bij elke misbruikpoging controleert de malware de aanwezigheid van DoublePulsar op de doelcomputer en downloadt deze, indien gedetecteerd, rechtstreeks via deze achterdeur.

Deze paden worden trouwens niet gevolgd door moderne antivirusprogramma's, wat de infectie zo wijdverspreid heeft gemaakt. En dit is een enorme kasseistrook in de tuin van ontwikkelaars van antivirussoftware. Hoe kon dit gebeuren? Waar neem je geld voor?

Eenmaal gelanceerd gedraagt ​​de malware zich als een klassieke ransomware: hij genereert voor elke geïnfecteerde computer een uniek asymmetrisch RSA-2048-sleutelpaar. Vervolgens begint WannaCry het systeem te scannen op zoek naar gebruikersbestanden van bepaalde typen, waardoor de bestanden die cruciaal zijn voor het verder functioneren ervan onaangeroerd blijven. Elk geselecteerd bestand wordt gecodeerd met behulp van het AES-128-CBC-algoritme met voor elk bestand een unieke (willekeurige) sleutel, die op zijn beurt wordt gecodeerd met de openbare RSA-sleutel van het geïnfecteerde systeem en wordt opgeslagen in de header van het gecodeerde bestand. In dit geval wordt de extensie aan elk gecodeerd bestand toegevoegd .wncry. Het RSA-sleutelpaar van het geïnfecteerde systeem wordt gecodeerd met de openbare sleutel van de aanvallers en naar hun controleservers op het Tor-netwerk gestuurd, waarna alle sleutels uit het geheugen van de geïnfecteerde machine worden verwijderd. Nadat het coderingsproces is voltooid, geeft het programma een venster weer waarin u wordt gevraagd om binnen drie dagen een bepaald bedrag aan Bitcoin (equivalent aan €300) over te maken naar de opgegeven portemonnee. Als het losgeld niet op tijd wordt ontvangen, wordt het bedrag automatisch verdubbeld. Op de zevende dag, als WannaCry niet van het geïnfecteerde systeem wordt verwijderd, worden de gecodeerde bestanden vernietigd. Het bericht wordt weergegeven in de taal die overeenkomt met de taal die op de computer is geïnstalleerd. In totaal ondersteunt het programma 28 talen. Parallel aan de codering scant het programma willekeurige internet- en lokale netwerkadressen op daaropvolgende infectie van nieuwe computers.

Volgens onderzoek van Symantec is het algoritme van de aanvaller om individuele betalingen aan elk slachtoffer bij te houden en hen de decoderingssleutel te sturen, geïmplementeerd met een race condition error. Dit maakt het betalen van losgeld zinloos, omdat individuele sleutels in ieder geval niet worden verzonden en de bestanden gecodeerd blijven. Er is echter een betrouwbare methode om gebruikersbestanden kleiner dan 200 MB te decoderen, en er is ook een kans op het herstellen van grotere bestanden. Bovendien is het op verouderde Windows XP- en Windows Server 2003-systemen, vanwege de eigenaardigheden van de systeemimplementatie van het algoritme voor het berekenen van pseudo-willekeurige getallen, zelfs mogelijk om privé-RSA-sleutels te herstellen en alle betrokken bestanden te decoderen als de computer dat niet heeft gedaan opnieuw opgestart sinds het moment van infectie. Later heeft een groep Franse cyberbeveiligingsexperts van Comae Technologies deze functie uitgebreid naar Windows 7 en in de praktijk gebracht door het hulpprogramma in het publieke domein te publiceren WanaKiwi, waarmee u bestanden kunt decoderen zonder losgeld.

De code van vroege versies van het programma bevatte een zelfvernietigingsmechanisme, de zogenaamde Kill Switch - het programma controleerde de beschikbaarheid van twee specifieke internetdomeinen en werd, als ze aanwezig waren, volledig van de computer verwijderd. Dit werd voor het eerst ontdekt door Marcus Hutchins op 12 mei 2017. (Engels) Russisch , een 22-jarige virusanalist voor het Britse bedrijf Kryptos Logic, die op Twitter schrijft onder de bijnaam @MalwareTechBlog, en een van de domeinen op zijn naam registreerde. Zo kon hij de verspreiding van deze wijziging van het kwaadaardige programma tijdelijk gedeeltelijk blokkeren. Op 14 mei werd het tweede domein geregistreerd. In volgende versies van het virus werd dit zelfuitschakelingsmechanisme verwijderd, maar dit gebeurde niet in de bronprogrammacode, maar door het uitvoerbare bestand te bewerken, wat erop wijst dat de oorsprong van deze oplossing niet bij de auteurs van de originele WannaCry lag. , maar van aanvallers van derden. Als gevolg hiervan is het versleutelingsmechanisme beschadigd en kan deze versie van de worm zichzelf alleen verspreiden door kwetsbare computers te vinden, maar kan deze niet rechtstreeks schade toebrengen.

De hoge verspreidingssnelheid van WannaCry, uniek voor ransomware, wordt verzekerd door misbruik van een kwetsbaarheid in het SMB-netwerkprotocol van het Microsoft Windows-besturingssysteem, gepubliceerd in februari 2017, beschreven in bulletin MS17-010. Als in het klassieke schema de ransomware op de computer terechtkwam dankzij de acties van de gebruiker zelf via e-mail of een weblink, dan is in het geval van WannaCry de deelname van de gebruiker volledig uitgesloten. De tijd tussen detectie van een kwetsbare computer en de volledige infectie bedraagt ​​ongeveer 3 minuten.

Het ontwikkelingsbedrijf heeft de aanwezigheid van een kwetsbaarheid bevestigd in absoluut alle gebruikers- en serverproducten die een implementatie van het SMBv1-protocol hebben - beginnend met Windows XP/Windows Server 2003 en eindigend met Windows 10/Windows Server 2016. Op 14 maart 2017 werd Microsoft heeft een reeks updates uitgebracht die zijn ontworpen om de kwetsbaarheid in alle ondersteunde besturingssystemen te neutraliseren. Na de verspreiding van WannaCry nam het bedrijf de ongekende stap om op 13 mei ook updates uit te brengen voor producten waarvan de ondersteuning is beëindigd (Windows XP, Windows Server 2003 en Windows 8).

Verspreiding van het WannaCry-virus

Het virus kan zich op verschillende manieren verspreiden:

• Via één computernetwerk;
• Via post;
• Via browser.

Persoonlijk begrijp ik niet helemaal waarom de netwerkverbinding niet door de antivirus wordt gescand. Dezelfde infectiemethode als via het bezoeken van een website of browser bewijst de hulpeloosheid van ontwikkelaars en dat de gevraagde bedragen voor gelicentieerde software om een ​​pc te beschermen op geen enkele manier gerechtvaardigd zijn.

Symptomen van infectie en behandeling van het virus

Na een succesvolle installatie op de pc van de gebruiker probeert WannaCry zich als een worm over het lokale netwerk naar andere pc's te verspreiden. Gecodeerde bestanden krijgen de systeemextensie .WCRY en worden volledig onleesbaar en het is niet mogelijk om ze zelf te decoderen. Na volledige codering verandert Wcry de bureaubladachtergrond en laat “instructies” achter voor het decoderen van bestanden in de mappen met gecodeerde gegevens.

In eerste instantie hebben de hackers $300 afgeperst voor decoderingssleutels, maar dit bedrag werd vervolgens verhoogd naar $600.

Hoe kunt u voorkomen dat uw pc wordt geïnfecteerd door de WannaCry Decryptor-ransomware?

Download de update van het besturingssysteem van de Microsoft-website.

Wat te doen Is uw pc geïnfecteerd?

Gebruik de onderstaande instructies om te proberen ten minste een deel van de informatie op de geïnfecteerde pc te herstellen. Update uw antivirusprogramma en installeer de patch voor het besturingssysteem. Een decryptor voor dit virus bestaat nog niet in de natuur. We raden ten zeerste af om aanvallers losgeld te betalen. Er is geen enkele garantie, zelfs niet de geringste, dat zij uw gegevens zullen ontsleutelen nadat ze het losgeld hebben ontvangen.

Verwijder de WannaCry-ransomware met een automatische opschoner

Een uiterst effectieve manier om met malware in het algemeen en ransomware in het bijzonder aan de slag te gaan. Het gebruik van een bewezen beschermend complex garandeert een grondige detectie van eventuele virale componenten en de volledige verwijdering ervan met één klik. Houd er rekening mee dat we het over twee verschillende processen hebben: het verwijderen van een infectie en het herstellen van bestanden op uw pc. De dreiging moet echter zeker worden verwijderd, omdat er informatie is over de introductie van andere computertrojans die er gebruik van maken.

1. Download het WannaCry-virusverwijderingsprogramma. Nadat u de software hebt gestart, klikt u op de knop Start Computerscan(Start scannen). Download het ransomware-verwijderingsprogramma Wil huilen .
2. De geïnstalleerde software levert een rapport op over de bedreigingen die tijdens het scannen zijn gedetecteerd. Selecteer de optie om alle gedetecteerde bedreigingen te verwijderen Bedreigingen oplossen(Elimineer bedreigingen). De betreffende malware wordt volledig verwijderd.

Herstel de toegang tot gecodeerde bestanden

Zoals opgemerkt vergrendelt de no_more_ransom-ransomware bestanden met behulp van een sterk encryptie-algoritme, zodat gecodeerde gegevens niet met een toverstafje kunnen worden hersteld, zonder dat er een ongehoord losgeldbedrag hoeft te worden betaald. Maar sommige methoden kunnen echt een redder in nood zijn en u helpen belangrijke gegevens te herstellen. Hieronder kunt u er kennis mee maken.

Automatisch bestandsherstelprogramma (decryptor)

Er is een zeer ongebruikelijke omstandigheid bekend. Deze infectie wist de originele bestanden in niet-versleutelde vorm. Het versleutelingsproces voor afpersingsdoeleinden richt zich dus op kopieën ervan. Dit maakt het mogelijk voor software zoals Gegevensherstel Pro gewiste objecten herstellen, zelfs als de betrouwbaarheid van de verwijdering ervan gegarandeerd is. Het wordt ten zeerste aanbevolen om gebruik te maken van de bestandsherstelprocedure; de ​​effectiviteit ervan staat buiten twijfel.

Schaduwkopieën van volumes

De aanpak is gebaseerd op het Windows-back-upproces van bestanden, dat bij elk herstelpunt wordt herhaald. Een belangrijke voorwaarde om deze methode te laten werken: de functie “Systeemherstel” moet vóór de infectie zijn geactiveerd. Eventuele wijzigingen in het bestand die na het herstelpunt zijn aangebracht, verschijnen echter niet in de herstelde versie van het bestand.

Back-up

Dit is de beste van alle methoden zonder losgeld. Als de procedure voor het maken van een back-up van gegevens naar een externe server werd gebruikt vóór de ransomware-aanval op uw computer, hoeft u om gecodeerde bestanden te herstellen eenvoudigweg de juiste interface te openen, de benodigde bestanden te selecteren en het gegevensherstelmechanisme vanaf de back-up te starten. Voordat u de bewerking uitvoert, moet u ervoor zorgen dat de ransomware volledig is verwijderd.

Controleer op mogelijke resterende componenten van de WannaCry-ransomware

Bij handmatig opschonen bestaat het risico dat individuele stukjes ransomware verloren gaan die aan verwijdering kunnen ontsnappen als verborgen besturingssysteemobjecten of registeritems. Om het risico van gedeeltelijke retentie van individuele kwaadaardige elementen te elimineren, scant u uw computer met een betrouwbaar beveiligingssoftwarepakket dat gespecialiseerd is in malware.

Decodering

Maar er is geen informatie van degenen die voor de decodering hebben betaald, net zoals er geen informatie is over de intentie van de hackers om de zielen van de mensen te kalmeren en de informatie na betaling te decoderen ((((

Maar op de hub was er informatie over het werkingsprincipe van de Decrypt-knop, evenals het feit dat aanvallers geen manier hebben om gebruikers te identificeren die bitcoins hebben verzonden, wat betekent dat niemand iets aan de slachtoffers zal herstellen:

“De cryptor maakt twee soorten bestanden: ten eerste wordt een deel gecodeerd met 128-bit AES, en de gegenereerde decoderingssleutel wordt rechtstreeks aan het gecodeerde bestand toegevoegd. Op deze manier gecodeerde bestanden krijgen de extensie .wncyr en het zijn deze die vervolgens worden gedecodeerd wanneer u op Decoderen klikt. Het grootste deel van de gecodeerde dingen krijgt de extensie .wncry en de sleutel is er niet meer.
In dit geval vindt de codering niet plaats in het bestand zelf, maar wordt eerst een bestand gemaakt op de schijf waarop de gecodeerde inhoud is geplaatst, en vervolgens wordt het originele bestand verwijderd. Dienovereenkomstig bestaat er enige tijd een kans om een ​​deel van de gegevens te herstellen met behulp van verschillende hulpprogramma's voor het ongedaan maken van de verwijdering.
Om dergelijke hulpprogramma's tegen te gaan, schrijft de cryptor voortdurend allerlei soorten afval naar de schijf, waardoor schijfruimte vrij snel in beslag wordt genomen.
Maar waarom er nog steeds geen informatie is over de betaling en de mechanismen om deze te verifiëren, is werkelijk verrassend. Misschien heeft het behoorlijke bedrag ($300) dat voor zo’n cheque nodig is, impact.”

De makers van het WannaCry-virus omzeilden tijdelijke bescherming in de vorm van een betekenisloos domein

De makers van het WannaCry-ransomwarevirus, dat computers in meer dan 70 landen trof, hebben er een nieuwe versie van uitgebracht. Het ontbreekt aan code voor toegang tot een betekenisloos domein, dat werd gebruikt om de verspreiding van het oorspronkelijke virus te voorkomen, schrijft Motherboard. De publicatie kreeg bevestiging van de opkomst van een nieuwe versie van het virus door twee specialisten die nieuwe gevallen van computerinfectie bestudeerden. Eén van hen is Costin Raiu, hoofd van het internationale onderzoeksteam van Kaspersky Lab.

Deskundigen hebben niet gespecificeerd of er nog andere wijzigingen in WannaCry zijn verschenen.