วิธีการเอาออก Wana Decrypt0r 2.0.1

โลกอินเทอร์เน็ตและผู้ใช้พีซีต่างตกตะลึงกับแรนซัมแวร์เข้ารหัสข้อมูลรูปแบบใหม่ที่เรียกว่า Wana Decrypt0r 2.0 ซึ่งได้แพร่ระบาดไปยังเวิร์กสเตชันหลายพันแห่งในเวลาอันสั้น มีผู้ติดเชื้อมากกว่า 99 ประเทศพร้อมกัน รวมถึงสหรัฐอเมริกา ละตินอเมริกา ยุโรป และประเทศในเอเชีย Wana Decrypt0r 2.0 เป็นที่รู้จักภายใต้ชื่อหลายชื่อ: WCry, WNCry, WannaCry และอื่น ๆ เมื่อติดตั้งสำเร็จแล้ว ระบบจะเริ่มสแกนเวิร์กสเตชันเพื่อค้นหาไฟล์และโปรแกรมที่สามารถเข้ารหัสได้ ใช้อัลกอริธึมการเข้ารหัส RSA และ AES เพื่อล็อคไฟล์และแทนที่ส่วนขยายชื่อเริ่มต้นด้วย .wcry, .wcryt, .wncry หรือ .wncrrytt บันทึกค่าไถ่ที่เกี่ยวข้องจะถูกจัดเก็บไว้ในไฟล์ข้อความชื่อ @Please read [ป้องกันอีเมล]- หมายเหตุนี้มีข้อมูลเกี่ยวกับแรนซัมแวร์และบิตคอยน์ และที่อยู่อีเมลเพื่อชำระค่าไถ่ การวิจัยแสดงให้เห็นว่า Wana Decrypt0r 2.0 ต้องการให้คุณจ่ายเงิน 300 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin เสมือนเพื่อแลกกับคีย์ถอดรหัส ขอแนะนำอย่างยิ่งให้คุณสแกนสถานีของคุณทันทีด้วยเครื่องมือป้องกันมัลแวร์ที่ทรงพลังเพื่อลบไฟล์ที่เกี่ยวข้องทั้งหมดและ Wana Decrypt0r 2.0 ที่มีประโยชน์อย่างสมบูรณ์ เป็นสิ่งสำคัญมากที่จะต้องลบองค์ประกอบทั้งหมดออกเพื่อไม่ให้เข้ารหัสไฟล์และข้อมูลอื่น ๆ

Wana Decrypt0r 2.0 ได้รับการเผยแพร่อย่างไร?

ในทางเทคนิคแล้ว Wana Decrypt0r 2.0 สามารถแพร่เชื้อพีซีที่ใช้ Windows ได้ มันใช้ประโยชน์จากช่องโหว่ EternalBlue ในเวอร์ชัน Windows 7, 8, 10 และ Windows Server สิ่งที่น่าสนใจคือ หากคุณไม่ได้รับแพตช์ของ Microsoft ดัชนี MS17-010, CVE-2017-0146 และ CVE-2017-0147 ในเดือนมีนาคม 2017 คุณก็มีแนวโน้มที่จะติดมัลแวร์นี้ เช่นเดียวกับแรนซัมแวร์อื่นๆ ยังไม่ทราบว่าใช้แท็บเล็ตหรือแคมเปญแนบอีเมลขยะเพื่อกระจายหรือไม่ อย่างไรก็ตาม คุณควรใช้ความระมัดระวังเป็นอย่างยิ่งเมื่อเปิดไฟล์แนบอีเมลประเภทใดก็ตาม หรือคลิกไฮเปอร์ลิงก์ใดๆ ขณะเรียกดู

วิธีถอดรหัส Wana Decrypt0r 2.0.1

ตามอาชญากรไซเบอร์ พวกเขาหลอกคุณให้จ่ายเงินค่าไถ่เพื่อให้ได้คีย์ถอดรหัสที่จำเป็น แต่ผู้เชี่ยวชาญด้านไซเบอร์เห็นด้วยอย่างเต็มที่ที่จะแนะนำให้จ่ายค่าไถ่ มีหลายสถานการณ์ในอดีตที่ผู้ขายไม่ได้ให้คีย์ถอดรหัสดั้งเดิม แม้ว่าจะชำระเงินแล้วก็ตาม ดังนั้นจึงเป็นการดีกว่าเสมอที่จะลองใช้วิธีอื่น เช่น การใช้ไฟล์สำรอง, Shadow Copy เสมือน หรือแม้แต่เครื่องมือกู้คืนข้อมูลฟรีที่มีอยู่บนอินเทอร์เน็ต ในเวลาเดียวกันอย่าลืมตรวจสอบการทำงานของสถานีด้วยเครื่องมือป้องกันมัลแวร์ที่ทรงพลังและลบองค์ประกอบ Wana Decrypt0r 2.0 ที่เกี่ยวข้องทั้งหมด

Wana Decrypt0r 2.0 เข้าสู่พีซีได้อย่างไร

การติดมัลแวร์ประเภทนี้แสดงให้เห็นว่าพวกเขามีความเสี่ยงอย่างไรในยุคข้อมูลสมัยใหม่นี้ สิ่งนี้อาจรบกวนประสิทธิภาพของพีซี และในขณะเดียวกัน เราอาจสูญเสียการสูญเสียหลายล้านดอลลาร์ของเรา มีรายงานหลายฉบับที่คอมพิวเตอร์เครื่องหนึ่งติดมัลแวร์ โดยมีพีซี Windows หลายพันเครื่องในหนึ่งวัน ดังนั้นเพื่อที่จะลบ Wana Decrypt0r 2.0 ได้สำเร็จ สิ่งสำคัญคือต้องรู้ว่ามัลแวร์นี้กำหนดเป้าหมายไปที่พีซีที่ติดไวรัสและเข้าไปได้อย่างง่ายดาย

โดยทั่วไปแล้วจะเข้าถึงไฟล์ส่วนประกอบและโค้ดจากโปรแกรมจริงซึ่งมักนำเสนอเป็นฟรีแวร์ พวกเขาใช้ซอฟต์แวร์ฟรีที่ถูกกฎหมายและติดตั้งอย่างเงียบๆ สมมติว่าคุณติดตั้งไวรัสนี้พร้อมกับโปรแกรม Java บางโปรแกรม ดังนั้นทุกครั้งที่ไฟล์ Java นี้ถูกเรียกใช้งาน การติดไวรัสนี้จะเริ่มทำงานและเริ่มกิจกรรมที่น่าสงสัย โดยทั่วไปแล้วพวกมันจะจำลองตัวเองและสามารถสืบพันธุ์ได้ ยิ่งไปกว่านั้น มันสามารถเดินทางผ่านข้อความอีเมลที่เสียหาย ไฟล์เพียร์ทูเพียร์ ไฮเปอร์ลิงก์ที่น่าสงสัย ฯลฯ สามารถใช้เครือข่ายคอมพิวเตอร์และช่องโหว่ด้านความปลอดภัยเพื่อทำซ้ำตัวเองและได้รับการติดตั้งอย่างเงียบ ๆ โปรแกรมที่ดาวน์โหลดจากอินเทอร์เน็ต โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ ก็เป็นแหล่งโจมตีมัลแวร์คอมพิวเตอร์จำนวนมากเช่นกัน

Wana Decrypt0r 2.0 เป็นอันตรายได้อย่างไร?

มัลแวร์พีซีทุกประเภทล้วนเป็นอันตรายเสมอ และหากเป็นความสามารถของ Wana Decrypt0r 2.0 สถานการณ์ก็จะยิ่งแย่ลงไปอีก มันสามารถควบคุมเบราว์เซอร์ทั้งหมด บล็อกการเข้าถึงแอพพลิเคชั่นและคุณสมบัติที่สำคัญ และใช้การตั้งค่าความปลอดภัยเพิ่มเติมเพื่อนำมัลแวร์อื่น ๆ มากมายเข้าสู่ประตูหลัง รับเนื้อหาของหน้าเว็บที่คุณเยี่ยมชมโดยอัตโนมัติ และคำหลักของหน้าเว็บนั้นจะมีตัวหนาและมีไฮเปอร์ลิงก์จาก URL ที่เป็นอันตราย คุณจะถูกเปลี่ยนเส้นทางผ่านเว็บไซต์ฟิชชิ่งและอันตรายที่มีเนื้อหาลามกเป็นหลัก

พฤติกรรมพื้นฐาน วาน่า Decrypt0r 2.0 คือการสอดแนมกิจกรรมออนไลน์ของคุณและเก็บข้อมูลที่เป็นความลับของคุณภายใต้การดูแล สามารถใช้ปลั๊กอินเบราว์เซอร์ที่น่าสงสัย ส่วนเสริม และแม้แต่ตัวบันทึกคีย์และการกดคีย์ เพื่อสอดแนมและบันทึกกิจกรรมของผู้ใช้และรั่วไหลข้อมูลที่ละเอียดอ่อนสูง เช่น ID รหัสผ่าน ตำแหน่งทางภูมิศาสตร์และที่อยู่ IP รายละเอียดธนาคาร ฯลฯ โดยการเปลี่ยนแปลง การตั้งค่าการเชื่อมต่ออินเทอร์เน็ต คอมพิวเตอร์ของคุณเชื่อมต่อกับเซิร์ฟเวอร์นิติวิทยาศาสตร์ไซเบอร์ ดังนั้นคอมพิวเตอร์ของคุณจึงถูกเข้าถึงอย่างผิดกฎหมายโดยบุคคลที่สามที่ไม่ได้รับอนุญาต มันจะเข้าควบคุมหน้าแรกและเครื่องมือค้นหาเริ่มต้นของเบราว์เซอร์ของคุณ และแสดงเว็บไซต์ที่น่าสงสัยที่ไม่เกี่ยวข้องในผลการค้นหา เว็บไซต์ส่วนใหญ่ในผลการค้นหาเป็นโดเมนเชิงพาณิชย์ ซึ่งไม่มีประโยชน์สำหรับคำค้นหาเลย ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องลบ Wana Decrypt0r 2.0 ทันทีที่สังเกตเห็นอาการเริ่มแรก

คำแนะนำในการถอด Wana Decrypt0r 2.0

วางแผน: กำจัด Wana Decrypt0r 2.0 ด้วยกระบวนการแบบแมนนวล (แนะนำโดยผู้เชี่ยวชาญด้านไซเบอร์และช่างเทคนิคชั้นนำเท่านั้น)

แผนข : ลบ Wana Decrypt0r 2.0 จาก Windows PC โดยใช้เครื่องมือการลบอัตโนมัติ (ปลอดภัยและง่ายสำหรับผู้ใช้พีซีทุกคน)

Windows OS Plan A: กำจัด Wana Decrypt0r 2.0 ด้วยตนเอง

ก่อนที่จะดำเนินการตามกระบวนการด้วยตนเอง มีบางสิ่งที่ต้องได้รับการยืนยันก่อน สิ่งแรกคือคุณต้องมีความรู้ด้านเทคนิคและประสบการณ์ในการลบมัลแวร์พีซีด้วยตนเอง คุณต้องมีความรู้เชิงลึกเกี่ยวกับรายการและไฟล์รีจิสทรีของระบบ ต้องสามารถยกเลิกขั้นตอนที่ไม่ถูกต้องได้และต้องตระหนักถึงผลเสียที่อาจเกิดขึ้นจากความผิดพลาดของคุณ หากคุณไม่ปฏิบัติตามความรู้ทางเทคนิคขั้นพื้นฐานนี้ แผนจะมีความเสี่ยงสูงและควรหลีกเลี่ยง ในกรณีเช่นนี้ ขอแนะนำอย่างยิ่งให้เปิดใช้งานแผน B ซึ่งเบากว่าและจะช่วยคุณตรวจจับและลบออก วาน่า Decrypt0r 2.0ได้อย่างง่ายดายด้วยเครื่องมืออัตโนมัติ (ด้วย SpyHunter และ RegHunter)

ขั้นตอนที่ 1: ลบ Wana Decrypt0r 2.0จากแผงควบคุม

ขั้นตอนที่ 2: ลบ Wana Decrypt0r 2.0 จากเบราว์เซอร์

บนโครม: เปิด Google Chrome > คลิกเมนู Chrome > เลือกเครื่องมือ > คลิกส่วนขยาย > เลือกส่วนขยาย Wana Decrypt0r 2.0 > ถังขยะ

บนไฟร์ฟอกซ์: เปิด Firefox > ไปที่มุมขวาเพื่อเปิดเมนูเบราว์เซอร์ > เลือก Add-on > เลือกและลบส่วนขยาย Wana Decrypt0r 2.0

ในอินเทอร์เน็ตเอ็กซ์พลอเรอร์: เปิด IE > คลิกเครื่องมือ > คลิกจัดการส่วนเสริม เครื่องมือ และส่วนขยาย > เลือกส่วนขยาย วาน่า Decrypt0r 2.0และองค์ประกอบต่างๆ แล้วลบออก

ขั้นตอนที่ 3: ลบไฟล์ที่เป็นอันตราย Wana Decrypt0r 2.0 และรายการรีจิสตรี

3. ตรวจจับรายการรีจิสตรีที่สร้างโดย Wana Decrypt0r 2.0 และลบออกทีละรายการอย่างระมัดระวัง

• HKLM\ซอฟต์แวร์\คลาส\AppID\ .exe
• HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start เปลี่ยนเส้นทางหน้า =”http:// .com"
• ชื่อ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\virus
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “เชลล์” = “%AppData%\ .exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• 'สุ่ม' HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

แผน b: ลบ Wana Decrypt0r 2.0 ด้วยยูทิลิตี้ Wana Decrypt0r 2.0 อัตโนมัติ

ขั้นตอนที่ 1 สแกนคอมพิวเตอร์ที่ติดไวรัสด้วย SpyHunter เพื่อลบ Wana Decrypt0r 2.0

1. คลิกที่ปุ่มดาวน์โหลดเพื่อดาวน์โหลด SpyHunter อย่างปลอดภัย

บันทึก : ในขณะที่โหลด SpyHunter บนพีซีของคุณ เบราว์เซอร์ของคุณอาจแสดงคำเตือนปลอม เช่น “ไฟล์ประเภทนี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ คุณยังต้องการเก็บ Download_Spyhunter-installer.exe ไว้หรือไม่?” โปรดจำไว้ว่านี่เป็นข้อความหลอกลวงที่เกิดขึ้นจริงจากการติดไวรัสบนพีซี คุณควรเพิกเฉยต่อข้อความและคลิกที่ปุ่ม "บันทึก"

2. เรียกใช้ SpyHunter-Installer.exe เพื่อติดตั้ง SpyHunter โดยใช้ตัวติดตั้งซอฟต์แวร์ Enigma

3. เมื่อการติดตั้งเสร็จสมบูรณ์ ให้ SpyHunter สแกนคอมพิวเตอร์ของคุณและค้นหาในเชิงลึกเพื่อตรวจจับและลบ Wana Decrypt0r 2.0 และไฟล์ที่เกี่ยวข้อง มัลแวร์หรือโปรแกรมที่อาจไม่เป็นที่ต้องการจะถูกสแกนและตรวจพบโดยอัตโนมัติ

4. คลิกที่ปุ่ม "แก้ไขภัยคุกคาม" เพื่อลบภัยคุกคามคอมพิวเตอร์ทั้งหมดที่ SpyHunter ตรวจพบ

ขั้นตอนที่ 2: ใช้ RegHunter เพื่อเพิ่มประสิทธิภาพพีซีให้สูงสุด

1. คลิกเพื่อดาวน์โหลด RegHunter พร้อมกับ SpyHunter

2. เรียกใช้ RegHunter-Installer.exe เพื่อติดตั้ง RegHunter ผ่านทางตัวติดตั้ง

วิธีการที่ใช้โดยเครื่องมือกำจัดอัตโนมัติ Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 เป็นการติดมัลแวร์ขั้นสูงมาก ดังนั้นจึงเป็นเรื่องยากมากสำหรับซอฟต์แวร์ป้องกันมัลแวร์ที่จะอัปเดตการตรวจจับการโจมตีของมัลแวร์ดังกล่าว แต่ด้วยเครื่องมือกำจัด Wana Decrypt0r 2.0 อัตโนมัติ ไม่มีปัญหาดังกล่าว เครื่องสแกนมัลแวร์นี้ได้รับการอัพเดตเป็นประจำสำหรับคำจำกัดความของมัลแวร์ล่าสุด ดังนั้นจึงสามารถสแกนคอมพิวเตอร์ของคุณได้อย่างรวดเร็วและกำจัดภัยคุกคามมัลแวร์ทุกประเภท รวมถึงสปายแวร์ มัลแวร์ โทรจันและอื่น ๆ แบบสำรวจและผู้เชี่ยวชาญด้านคอมพิวเตอร์จำนวนมากอ้างว่านี่เป็นเครื่องมือกำจัดการติดไวรัสที่ดีที่สุดสำหรับ Windows PC ทุกรุ่น เครื่องมือนี้จะปิดการเชื่อมต่อระหว่างนิติวิทยาศาสตร์ไซเบอร์และคอมพิวเตอร์ของคุณโดยสิ้นเชิง มีอัลกอริธึมการสแกนขั้นสูงและกระบวนการกำจัดมัลแวร์สามขั้นตอน ดังนั้นกระบวนการสแกนและการกำจัดมัลแวร์จึงรวดเร็วมาก

หากข้อความปรากฏบนคอมพิวเตอร์ของคุณแจ้งว่าไฟล์ของคุณถูกเข้ารหัสอย่ารีบตกใจ การเข้ารหัสไฟล์มีอาการอย่างไร? นามสกุลปกติจะเปลี่ยนเป็น *.vault, *.xtbl, * [ป้องกันอีเมล] _XO101 ฯลฯ ไม่สามารถเปิดไฟล์ได้ - จำเป็นต้องมีรหัสซึ่งสามารถซื้อได้โดยการส่งจดหมายไปยังที่อยู่ที่ระบุในข้อความ

คุณได้รับไฟล์ที่เข้ารหัสมาจากไหน?

คอมพิวเตอร์ติดไวรัสที่บล็อกการเข้าถึงข้อมูล โปรแกรมป้องกันไวรัสมักจะพลาดไปเพราะโดยปกติแล้วโปรแกรมจะใช้ยูทิลิตี้การเข้ารหัสที่ไม่เป็นอันตราย คุณจะลบไวรัสออกอย่างรวดเร็วเพียงพอ แต่ปัญหาร้ายแรงอาจเกิดขึ้นได้กับการถอดรหัสข้อมูล

การสนับสนุนทางเทคนิคจาก Kaspersky Lab, Dr.Web และบริษัทชื่อดังอื่นๆ ที่พัฒนาซอฟต์แวร์ป้องกันไวรัส เพื่อตอบสนองคำขอของผู้ใช้ในการถอดรหัสข้อมูล รายงานว่าเป็นไปไม่ได้ที่จะทำเช่นนี้ในเวลาที่ยอมรับได้ มีหลายโปรแกรมที่สามารถรับรหัสได้ แต่สามารถทำงานได้กับไวรัสที่ศึกษาก่อนหน้านี้เท่านั้น หากคุณพบการแก้ไขใหม่ โอกาสในการกู้คืนการเข้าถึงข้อมูลจึงมีน้อยมาก

ไวรัส ransomware เข้าสู่คอมพิวเตอร์ได้อย่างไร?

ใน 90% ของกรณี ผู้ใช้เองเปิดใช้งานไวรัสบนคอมพิวเตอร์ของตน, เปิดจดหมายที่ไม่รู้จัก จากนั้นข้อความจะถูกส่งไปยังอีเมลที่มีหัวข้อเร้าใจ - "หมายศาล", "หนี้เงินกู้", "การแจ้งเตือนจากสำนักงานสรรพากร" ฯลฯ ภายในจดหมายปลอมมีไฟล์แนบอยู่ หลังจากดาวน์โหลดแล้ว ransomware จะเข้าสู่คอมพิวเตอร์และเริ่มบล็อกการเข้าถึงไฟล์อย่างค่อยเป็นค่อยไป

การเข้ารหัสไม่ได้เกิดขึ้นทันที ดังนั้นผู้ใช้จึงมีเวลากำจัดไวรัสก่อนที่ข้อมูลทั้งหมดจะถูกเข้ารหัส คุณสามารถทำลายสคริปต์ที่เป็นอันตรายได้โดยใช้ยูทิลิตี้ทำความสะอาด Dr.Web CureIt, Kaspersky Internet Security และ Malwarebytes Antimalware

วิธีการกู้คืนไฟล์

หากเปิดใช้งานการป้องกันระบบบนคอมพิวเตอร์ของคุณ แม้หลังจากผลกระทบของไวรัสแรนซัมแวร์ ก็มีโอกาสที่จะคืนไฟล์กลับสู่สถานะปกติโดยใช้ Shadow Copy ของไฟล์ โดยปกติแล้ว Ransomware จะพยายามลบออก แต่บางครั้งก็ไม่สำเร็จเนื่องจากขาดสิทธิ์ของผู้ดูแลระบบ

การคืนค่าเวอร์ชันก่อนหน้า:

หากต้องการบันทึกเวอร์ชันก่อนหน้า คุณต้องเปิดใช้งานการป้องกันระบบ

สำคัญ: ต้องเปิดใช้งานการป้องกันระบบก่อนที่แรนซัมแวร์จะปรากฏขึ้น หลังจากนั้นจะไม่ช่วยอีกต่อไป

1. เปิดคุณสมบัติคอมพิวเตอร์
2. จากเมนูด้านซ้าย ให้เลือก การป้องกันระบบ
   
3. เลือกไดรฟ์ C แล้วคลิก "กำหนดค่า"
4. เลือกที่จะคืนค่าการตั้งค่าและไฟล์เวอร์ชันก่อนหน้า ใช้การเปลี่ยนแปลงโดยคลิก "ตกลง"

หากคุณทำตามขั้นตอนเหล่านี้ก่อนที่ไวรัสเข้ารหัสไฟล์จะปรากฏขึ้น หลังจากทำความสะอาดคอมพิวเตอร์ของคุณจากโค้ดที่เป็นอันตรายแล้ว คุณจะมีโอกาสกู้คืนข้อมูลได้ดี

การใช้ยูทิลิตี้พิเศษ

Kaspersky Lab ได้เตรียมยูทิลิตี้หลายอย่างเพื่อช่วยเปิดไฟล์ที่เข้ารหัสหลังจากลบไวรัสแล้ว ตัวถอดรหัสตัวแรกที่คุณควรลองคือ Kaspersky RectorDecryptor

1. ดาวน์โหลดโปรแกรมจากเว็บไซต์ทางการของ Kaspersky Lab
2. จากนั้นเรียกใช้ยูทิลิตี้แล้วคลิก "เริ่มการสแกน" ระบุเส้นทางไปยังไฟล์ที่เข้ารหัส

หากโปรแกรมที่เป็นอันตรายไม่ได้เปลี่ยนนามสกุลของไฟล์ คุณจะต้องรวบรวมไฟล์เหล่านั้นในโฟลเดอร์แยกต่างหากเพื่อถอดรหัส หากยูทิลิตี้นี้เป็น RectorDecryptor ให้ดาวน์โหลดอีกสองโปรแกรมจากเว็บไซต์อย่างเป็นทางการของ Kaspersky - XoristDecryptor และ RakhniDecryptor

ยูทิลิตี้ล่าสุดจาก Kaspersky Lab เรียกว่า Ransomware Decryptor ช่วยถอดรหัสไฟล์หลังจากไวรัส CoinVault ซึ่งยังไม่แพร่หลายมากใน RuNet แต่อาจเข้ามาแทนที่โทรจันอื่นในไม่ช้า

Adrien Guinet ผู้เชี่ยวชาญจากบริษัท Quarkslab ในฝรั่งเศสรายงานว่าเขาได้ค้นพบวิธีถอดรหัสข้อมูลที่ได้รับความเสียหายจากการโจมตีของแรนซัมแวร์ น่าเสียดายที่วิธีนี้ใช้ได้กับระบบปฏิบัติการ Windows XP เท่านั้นไม่ใช่ในทุกกรณี แต่ก็ดีกว่าไม่มีเลย

ฉันต้องเสร็จสิ้นกระบวนการถอดรหัสทั้งหมดให้เสร็จสิ้น แต่ฉันยืนยันว่าในกรณีนี้ คีย์ส่วนตัวสามารถกู้คืนได้บนระบบ XP #อยากร้องไห้- pic.twitter.com/QiB3Q1NYpS

Guinier เผยแพร่ซอร์สโค้ดสำหรับเครื่องมือที่เขาเรียกว่า WannaKey บน GitHub ในความเป็นจริงเทคนิคของนักวิจัยนั้นมีพื้นฐานมาจากการใช้ประโยชน์จากจุดบกพร่องที่ค่อนข้างแปลกและไม่ค่อยมีใครรู้จักใน Windows XP ซึ่งแม้แต่ผู้เขียนมัลแวร์เรียกค่าไถ่ที่น่าตื่นเต้นก็ดูเหมือนจะไม่รู้ ความจริงก็คือภายใต้สถานการณ์บางอย่างเป็นไปได้ที่จะแยกคีย์ที่จำเป็นในการ "ช่วยเหลือ" ไฟล์ออกจากหน่วยความจำของเครื่องที่ใช้ XP

นักวิจัยอธิบายว่าในระหว่างการดำเนินการ ransomware จะใช้ Windows Crypto API และสร้างคีย์คู่หนึ่ง - อันสาธารณะซึ่งใช้ในการเข้ารหัสไฟล์ และคีย์ส่วนตัวซึ่งสามารถใช้เพื่อถอดรหัสไฟล์หลังจากจ่ายค่าไถ่แล้ว เพื่อป้องกันไม่ให้เหยื่อเข้าถึงคีย์ส่วนตัวและถอดรหัสข้อมูลล่วงหน้า ผู้เขียน WannaCry เข้ารหัสคีย์เอง เพื่อให้สามารถใช้งานได้หลังจากชำระเงินแล้วเท่านั้น

หลังจากที่คีย์ได้รับการเข้ารหัสแล้ว เวอร์ชันที่ไม่ได้เข้ารหัสจะถูกลบโดยใช้ฟังก์ชัน CryptReleaseContext มาตรฐาน ซึ่งในทางทฤษฎีควรลบคีย์ออกจากหน่วยความจำของเครื่องที่ติดไวรัสด้วย อย่างไรก็ตาม Guinier ตั้งข้อสังเกตว่าสิ่งนี้ไม่เกิดขึ้น มีเพียง "เครื่องหมาย" ที่ชี้ไปที่คีย์เท่านั้นที่ถูกลบออก

ผู้เชี่ยวชาญเขียนว่าสามารถแยกคีย์ส่วนตัวออกจากหน่วยความจำได้ Guinier ได้ทำการทดสอบหลายชุดและถอดรหัสไฟล์บนคอมพิวเตอร์ที่ติดไวรัสหลายเครื่องที่ใช้ Windows XP ได้สำเร็จ อย่างไรก็ตาม ผู้วิจัยเขียนว่าเพื่อให้การผ่าตัดประสบผลสำเร็จ จะต้องปฏิบัติตามเงื่อนไขหลายประการ เนื่องจากคีย์ถูกเก็บไว้ในหน่วยความจำชั่วคราวเท่านั้น คุณจึงต้องระวังไม่เพียงแต่ความจริงที่ว่ากระบวนการใด ๆ ที่อาจเขียนทับข้อมูลที่ด้านบนของคีย์โดยไม่ตั้งใจและหน่วยความจำจะถูกแจกจ่ายซ้ำ แต่คุณไม่ควรปิดและรีสตาร์ทคอมพิวเตอร์ หลังการติดเชื้อ

“หากคุณโชคดี คุณจะสามารถเข้าถึงพื้นที่หน่วยความจำเหล่านี้และกู้คืนกุญแจได้ มันอาจจะยังคงอยู่และคุณสามารถใช้มันเพื่อถอดรหัสไฟล์ของคุณได้ แต่วิธีนี้ไม่ได้ผลในทุกกรณี” นักวิจัยเขียน

ไม่ทราบว่ามีคอมพิวเตอร์ที่ใช้ Windows XP จำนวนกี่เครื่องที่ติดไวรัส WannaCry และกี่เปอร์เซ็นต์ของผู้ใช้ที่ไม่เคยรีบูทหรือปิดพีซีหลังจากการติดไวรัส ฉันขอเตือนคุณว่าในเครื่องนับแสนเครื่องได้รับผลกระทบจากการโจมตีของแรนซัมแวร์ในกว่าร้อยประเทศทั่วโลก อย่างไรก็ตาม Guinier หวังว่าเทคนิคของเขาจะเป็นประโยชน์กับผู้ใช้บางคนเป็นอย่างน้อย

ผู้เชี่ยวชาญคนอื่นๆ ยืนยันแล้วว่าในทางทฤษฎีแล้วเครื่องดนตรี Guinier น่าจะใช้งานได้ ดังนั้น Matthew Green นักเขียนวิทยาการเข้ารหัสชื่อดังและศาสตราจารย์แห่งมหาวิทยาลัย Johns Hopkins จึงเขียนว่าวิธีนี้น่าจะได้ผล แม้ว่าในสถานการณ์ปัจจุบัน ทุกอย่างจะดูเหมือนลอตเตอรีมากกว่าก็ตาม ผู้เชี่ยวชาญที่มีชื่อเสียงอีกคนซึ่งเป็นพนักงานของบริษัท F-Secure Mikko Hypponen ถามคำถามว่า “เหตุใดจึงใช้ฟังก์ชันที่ไม่ทำลายคีย์เพื่อทำลายคีย์” อย่างไรก็ตาม เขายอมรับว่าจุดบกพร่องสามารถใช้เพื่อกู้คืนการเข้ารหัสได้ ไฟล์.

การโจมตีที่รุนแรงที่สุดของไวรัส Wana Decryptor เริ่มขึ้นเมื่อวานนี้ 12 พฤษภาคม 2017 คอมพิวเตอร์หลายพันเครื่องได้รับผลกระทบทั่วโลก ภายในไม่กี่ชั่วโมง มีคอมพิวเตอร์ติดไวรัส 45,000 เครื่องทั่วโลก ซึ่งเพิ่มขึ้นทุกนาที

ประเทศที่ได้รับผลกระทบมากที่สุดคือรัสเซีย การโจมตีของไวรัสยังคงดำเนินต่อไปจนถึงทุกวันนี้ และขณะนี้แฮกเกอร์กำลังพยายามเข้ายึดครองภาคธนาคาร เมื่อวานนี้การโจมตีหลักได้โจมตีคอมพิวเตอร์ของผู้ใช้ทั่วไปและเครือข่ายของกระทรวงกิจการภายในของรัสเซีย

โปรแกรมเข้ารหัสการเข้าถึงไฟล์ต่าง ๆ บนคอมพิวเตอร์ของคุณและให้การเข้าถึงไฟล์เหล่านั้นหลังจากชำระเงินด้วย bitcoin เท่านั้น วิธีนี้แฮกเกอร์สามารถสร้างรายได้หลายล้านดอลลาร์ ยังไม่สามารถถอดรหัสไฟล์ WNCRY ได้ แต่คุณสามารถกู้คืนไฟล์ที่เข้ารหัสได้โดยใช้โปรแกรม ShadowExplorer และ PhotoRec แต่ไม่มีใครรับประกันได้

ไวรัสแรนซัมแวร์นี้มักเรียกว่า Wana Decryptor แต่ก็มีชื่ออื่นด้วย: WanaCrypt0r, Wanna Cry หรือ Wana Decrypt0r ก่อนหน้านี้ไวรัสตัวหลักมีแรนซัมแวร์น้องชายชื่อ Wanna Cry และ WanaCrypt0r ต่อมาตัวเลข “0” ถูกแทนที่ด้วยตัวอักษร “o” และไวรัสหลักกลายเป็นที่รู้จักในชื่อ Wana Decrypt0r

ในตอนท้ายไวรัสจะเพิ่มนามสกุล WNCRY ให้กับไฟล์ที่เข้ารหัส ซึ่งบางครั้งเรียกโดยใช้ตัวย่อนี้

Wana Decryptor แพร่เชื้อคอมพิวเตอร์อย่างไร?

คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows มีช่องโหว่ในบริการ SMB ช่องโหว่นี้มีอยู่ในระบบปฏิบัติการ Windows ทุกเวอร์ชันตั้งแต่ 7 ถึง Windows 10 ในเดือนมีนาคม บริษัทได้เปิดตัวแพตช์อัปเดต “MS17-010: การอัปเดตความปลอดภัยสำหรับ Windows SMB Server” อย่างไรก็ตาม เมื่อพิจารณาจากจำนวนคอมพิวเตอร์ที่ติดไวรัส เป็นที่ชัดเจนว่า หลายคนเพิกเฉยต่อการอัปเดตนี้

เมื่อสิ้นสุดการทำงาน ไวรัส Wana Decryptor จะพยายามลบสำเนาของไฟล์ทั้งหมดและข้อมูลสำรองอื่น ๆ ของระบบ เพื่อที่ว่าหากมีสิ่งใดเกิดขึ้นจะไม่สามารถกู้คืนได้ ในการดำเนินการนี้ระบบจะขอสิทธิ์ผู้ดูแลระบบจากผู้ใช้ระบบปฏิบัติการ Windows จะแสดงคำเตือนจากบริการ UAC หากผู้ใช้ปฏิเสธที่จะให้สิทธิ์เต็มรูปแบบ สำเนาของไฟล์จะยังคงอยู่ในคอมพิวเตอร์และผู้ใช้จะสามารถกู้คืนไฟล์เหล่านั้นได้ฟรีโดยไม่มีค่าใช้จ่าย

วิธีการกู้คืนไฟล์ที่เข้ารหัสโดย Wana Decryptor และปกป้องคอมพิวเตอร์ของคุณ?

วิธีเดียวที่จะกู้คืนไฟล์ที่ถูกเข้ารหัสโดยไวรัสคือการใช้โปรแกรม ShadowExplorer และ PhotoRec อ่านคู่มือสำหรับโปรแกรมเหล่านี้เพื่อเรียนรู้วิธีการกู้คืนไฟล์ที่เข้ารหัส

เพื่อป้องกันไม่ให้ไวรัส WNCRY ransomware ติดคอมพิวเตอร์ของคุณ คุณต้องปิดช่องโหว่ทั้งหมดในระบบ เมื่อต้องการทำเช่นนี้ ให้ดาวน์โหลดการอัปเดต MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

นอกจากนี้อย่าลืมติดตั้งโปรแกรมป้องกันไวรัส Zemana หรือ Malwarebytes บนคอมพิวเตอร์ของคุณ ในเวอร์ชันเต็มที่ต้องชำระเงินพวกเขาจะบล็อกการเปิดตัวไวรัส ransomware

แซนด์บ็อกซ์

วาเลร่าวันที่ 18 พฤษภาคม 2560 เวลา 09:52 น

วิธีการกู้คืนไฟล์หลังจากเข้ารหัสไวรัส WannaCry ransomware

สวัสดีตอนบ่ายคุณฮาบราชิเทลิกี มีการเขียนมากมายเกี่ยวกับHabréเกี่ยวกับวิธีป้องกันตัวเองจาก WannaCry แต่ด้วยเหตุผลบางประการ ไม่มีการอธิบายวิธีส่งคืนข้อมูลที่เข้ารหัสที่ไหนเลย ฉันต้องการเติมเต็มช่องว่างนี้ และให้ความกระจ่างเล็กน้อยว่าเราทำเช่นนี้ได้อย่างไรในบริษัท “ที่มีชื่อเสียง” ของเราที่เกี่ยวข้องกับโลจิสติกส์ นี่เป็นคำแนะนำเพิ่มเติมสำหรับผู้ดูแลระบบความปลอดภัยข้อมูลของเรา

การกู้คืนหลังจากการเข้ารหัสข้อมูล

นี่ไม่ใช่การถอดรหัส แต่เป็นการกู้คืน และใช้งานได้ก็ต่อเมื่อเปิดใช้งานการคัดลอกเงาใน windows เช่น ข้อมูลสามารถกู้คืนได้จากจุดคืนค่าของ Windows เอง

ในการดำเนินการนี้คุณสามารถใช้ยูทิลิตี้ ShadowExplorer ซึ่งฟรีและช่วยให้คุณสามารถกู้คืนไฟล์จากจุดกู้คืนได้ จุดคืนค่าจะถูกสร้างขึ้นทุกครั้งที่ระบบได้รับการอัปเดตและจุดคืนค่าเก่าจะถูกเขียนทับด้วยจุดใหม่ จำนวนคะแนนขึ้นอยู่กับพื้นที่ที่จัดสรรไว้สำหรับคะแนนการกู้คืน โดยเฉลี่ยแล้ว 5-6 รายการจะถูกเก็บไว้ใน Windows โดยเฉลี่ย

เลือกจุดกู้คืนและคุณสามารถส่งออกไฟล์และไดเร็กทอรีไปยังตำแหน่งที่คุณต้องการ:

เลือกไฟล์ที่ยังไม่ได้เข้ารหัสและส่งออกไปยังตำแหน่งที่คุณต้องการ

(ในบางกรณี เมื่อการอัปเดตผ่านไปแล้ว จุดการกู้คืนเหล่านั้นอาจถูกเขียนทับเมื่อไฟล์ยังไม่ได้เข้ารหัส นอกจากนี้ยังอาจเป็นไปได้ว่าข้อมูลบางส่วนได้รับการเข้ารหัสแล้วในจุดการกู้คืน แต่บางจุดยังไม่ได้เข้ารหัส คุณ ต้องคืนค่าเฉพาะส่วนที่กู้คืนได้เท่านั้น)

โดยหลักการแล้ว นั่นคือทั้งหมดที่จำเป็นสำหรับการฟื้นฟูหากเป็นไปได้

สำคัญ!หลังจากกู้คืนไฟล์แล้ว คุณจะต้องลบจุดกู้คืนที่มีการเข้ารหัสข้อมูลไว้แล้ว สังเกตได้ว่านี่คือจุดที่ไวรัสจะฟื้นฟูตัวเองหลังจากการทำความสะอาด

กู้คืนข้อมูล ตลอดจนต่อต้านและกำจัดไวรัส:

1. ตัดการเชื่อมต่อคอมพิวเตอร์ของคุณจากเครือข่าย
2. ถัดไป คุณต้องใช้ยูทิลิตี้ wann_kill_v_(หมายเลขเวอร์ชัน) - ยูทิลิตี้นี้จะฆ่ากระบวนการของไวรัส ลายเซ็นไวรัสนั้นยังคงถูกจัดเก็บไว้ในระบบ เราทำเช่นนี้เพราะว่า เมื่อคุณนำแฟลชไดรฟ์ไปยังคอมพิวเตอร์ที่ต้องฆ่าเชื้อ ไวรัสจะเข้ารหัสแฟลชไดรฟ์ สิ่งสำคัญคือต้องเรียกใช้ยูทิลิตี้นี้ก่อนที่ไวรัสจะเข้าสู่แฟลชไดรฟ์

3. ทำความสะอาดคอมพิวเตอร์ของคุณโดยใช้ DrWeb CureIt (นี่คือไวรัสที่ถูกลบออกจากคอมพิวเตอร์)
4. กู้คืนข้อมูลที่คุณต้องการตามที่อธิบายไว้ข้างต้น “ หลังจากการเข้ารหัสข้อมูล»
5. (หลังจากการกู้คืนข้อมูลเท่านั้น)ทำลายจุดฟื้นตัว เพราะนี่คือจุดที่ไวรัสจะฟื้นฟูตัวเองหลังจากทำความสะอาด

การป้องกันระบบ:

ปรับแต่ง:

ลบ.

6. จากนั้นจึงออกแพตช์ KB4012212 เพื่อปิดช่องโหว่เครือข่าย MS17-010
7. เปิดเครือข่ายและติดตั้ง (หรืออัพเดต) ซอฟต์แวร์ป้องกันไวรัส

นั่นคือวิธีที่ฉันต่อสู้กับไวรัส Wanna Cry โดยพื้นฐานแล้ว

แท็ก: WannaCry, การถอดรหัส