Sa artikulong ito, matututunan mo ang tungkol sa kung ano ang gagawin kung ang iyong computer ay inaatake ng Wanna Cry virus, pati na rin kung anong mga aksyon ang gagawin upang maiwasang mawala ang iyong mga file sa iyong hard drive.

Wcrypt virus ay ransomware na nagla-lock ng lahat ng file sa mga nahawaang computer o network at humihingi ng ransom kapalit ng solusyon sa pagbawi ng data.

Ang mga unang bersyon ng virus na ito ay lumitaw noong Pebrero 2017, at ngayon ay mayroon itong iba't ibang mga pangalan tulad ng WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 o kahit DarkoderCrypt0r.

Sa sandaling pumasok ang mapanganib na program na ito sa isang computer system, ine-encrypt nito ang lahat ng data na nakaimbak dito sa loob ng ilang segundo. Sa prosesong ito, maaaring magdagdag ang virus ng mga extension ng .Wcrypt file sa mga apektadong file.

Ang iba pang mga bersyon ng virus na ito ay kilala na magdagdag ng mga extension ng .wcry o .wncry file. Ang layunin ng pamamaraan ng pag-encrypt na ito ay gawing walang silbi ang data ng biktima at humingi ng ransom. Ang biktima ay madaling balewalain ang ransomware tool kung sakaling mayroon siyang backup ng kanyang data.

Gayunpaman, sa karamihan ng mga kaso, ang mga gumagamit ng computer ay nakakalimutang gumawa ng mga kopya ng data na ito sa isang napapanahong paraan. Sa ganoong kaso, ang tanging paraan upang mabawi ang mga naka-encrypt na file ay ang magbayad sa mga cyber criminal, ngunit lubos naming inirerekomenda na huwag mong gawin ito.

Tandaan na ang mga scammer ay karaniwang walang interes na makipag-ugnayan sa biktima pagkatapos matanggap ang ransom dahil pera lang ang hinahanap nila. Sa halip, iminumungkahi naming alisin ang ransomware gamit ang mga anti-malware na tool gaya ng Reimage o Plumbytes ayon sa gabay sa pag-alis ng Wcrypt na ibinigay namin sa ibaba.

Pagkatapos i-encrypt ang lahat ng mga file ng target na system, binabago ng virus ang desktop wallpaper sa isang itim na imahe na may ilang teksto na nagsasabing ang data na nakaimbak sa computer ay na-encrypt.

Ang imahe, katulad ng mga pinakabagong bersyon ng Cryptolocker, ay nagpapaliwanag kung paano i-recover ang file @WanaDecryptor.exe, kung i-quarantine ito ng antivirus program. Ang malware pagkatapos ay naglulunsad ng mensahe sa biktima na nagsasabing: "Oh, ang iyong mga file ay naka-encrypt!" At nagbibigay ng address ng Bitcoin wallet, presyo ng ransom (mula sa $300) at mga tagubilin para sa pagbili ng Bitcoin. Ang virus ay tumatanggap lamang ng ransom sa Bitcoin cryptocurrency.

Gayunpaman, dapat itong bayaran ng biktima sa loob ng tatlong araw pagkatapos ng impeksyon. Nangangako rin ang virus na tatanggalin ang lahat ng naka-encrypt na file kung hindi magbabayad ang biktima sa loob ng isang linggo. Samakatuwid, iminumungkahi naming alisin mo ang Wcrypt sa lalong madaling panahon upang hindi nito masira ang mga file sa iyong computer o laptop.

Paano kumalat ang Wcrypt virus?

Ang Wcrypt, na kilala rin bilang WansCry ransomware, ay ginulat ang virtual na komunidad noong Mayo 12, 2017. Sa araw na ito, isang malawakang pag-atake sa cyber ang isinagawa laban sa mga gumagamit ng Microsoft Windows. Ginamit ng mga attacker ang EternalBlue exploit para mahawahan ang mga computer system at makuha ang lahat ng file ng biktima.

Bukod pa rito, ang benepisyo mismo ay gumagana bilang isang trabaho na naghahanap ng mga konektadong computer at gumagaya sa kanila. Bagama't lumilitaw na ang ransomware ay hindi na nagta-target ng mga bagong biktima sa ngayon (bilang isang security researcher na aksidenteng nahinto ang pag-atake sa cyber), ang mga eksperto ay nag-uulat na ito ay masyadong maaga upang magdiwang.

Maaaring nagtatago ang mga may-akda ng malware ng isa pang paraan upang maikalat ang virus, kaya dapat gawin ng mga user ng computer ang lahat ng posibleng hakbang upang maprotektahan ang kanilang computer mula sa naturang cyber attack. Bagama't karaniwang inirerekomenda namin ang pag-install ng software upang maprotektahan ang iyong PC mula sa malware at regular na i-update ang lahat ng mga program dito.

Worth noting, na kami, tulad ng iba, ay inirerekomenda ang paggawa ng kopya ng iyong mahalagang data at ilipat ito sa isang panlabas na storage device.

Paano tanggalin ang Wcrypt virus? Ano ang dapat kong gawin kung lumabas ang Wcrypt sa aking computer?

Para sa mga kadahilanang nabanggit sa itaas, kailangan mong alisin ang Wcrypt virus sa lalong madaling panahon. Hindi ligtas na panatilihin ang isang computer sa system dahil maaari itong mabilis na magtiklop sa iba pang mga computer o portable na aparato kung may nagkokonekta sa kanila sa isang nakompromisong PC.

Ang pinakaligtas na paraan upang kumpletuhin ang pag-alis ng Wcrypt ay ang magsagawa ng buong pag-scan ng system gamit ang antivirus software. Upang patakbuhin ito, kailangan mo munang ihanda ang iyong computer. Sundin ang mga tagubiling ito upang ganap na maalis ang virus.

Paraan 1: I-uninstall ang WCrypt sa Safe Mode sa pamamagitan ng Network

• Hakbang 1: I-restart ang iyong computer sa Safe Mode gamit ang Networking.

Windows 7/Vista/XP

1. I-click Magsimula → Patayin → I-restart → OK.
2. Kapag lumitaw ang screen, simulan ang pag-tap F8 .
3. Pumili mula sa listahan Safe mode na may naglo-load ng mga driver ng network.

Windows 10/Windows 8

1. Paglipat "I-reboot."
2. Ngayon pumili "Pag-troubleshoot" → "Mga advanced na opsyon" → "Mga Setting ng Startup" at pindutin ang .
3. "Paganahin ang Safe Mode na may Network Drivers Loading" sa bintana "Mga Opsyon sa Boot".

• Hakbang 2: Alisin ang WCrypt

Mag-log in sa iyong nahawaang account at ilunsad ang iyong browser.

o iba pang lehitimong anti-spyware program. I-update ito bago ang isang buong pag-scan ng system at alisin ang mga nakakahamak na file.

Kung hinarangan ng WCrypt ang Safe Mode mula sa pag-load ng mga driver ng network, subukan ang ibang paraan.

• Paraan 2: I-uninstall ang WCrypt gamit ang System Restore

Windows 7/Vista/XP

1. I-click Magsimula → Hakbang 1: I-restart ang iyong computer sa Safe Mode gamit ang Command Prompt. → Pagsara → OK.
2. I-reboot F8 Kapag naging aktibo ang iyong computer, simulan ang pag-click ilang beses hanggang sa makakita ka ng bintana.
3. "Mga advanced na pagpipilian sa boot" Pumili"Safe Mode na may Suporta sa Command Line"

Windows 10/Windows 8

1. mula sa listahan. Paglipat Pindutin ang power button sa Windows login screen. Ngayon pindutin nang matagal , na nasa iyong keyboard, at pindutin ang.
2. Ngayon pumili "Pag-troubleshoot" → "Mga advanced na opsyon" → "Mga Setting ng Startup" at pindutin ang .
3. "I-reboot" Kapag aktibo na ang iyong computer, piliin sa bintana "Mga Opsyon sa Boot".

• "Paganahin ang Safe Mode na may Suporta sa Command Line"

1. Hakbang 2: Ibalik ang mga file at setting ng system. Kapag lumitaw ang command prompt window, i-type pagpapanumbalik ng cd at pindutin

Pumasok. 2. Ngayon pumasok rstrui.exe at pindutin

at pindutin muli 3. Kapag lumitaw ang isang bagong window, i-click"Susunod" at pumili ng restore point bago ang WCrypt infiltration. Pagkatapos ng pag-click na iyon

"Susunod." 4. Ngayon i-click"Oo"

upang ipagpatuloy ang proseso. 5. Pagkatapos nito, mag-click sa pindutan"Handa na"

• upang simulan ang System Restore.

Pagkatapos ibalik ang iyong system sa isang nakaraang petsa, i-boot at i-scan ang iyong computer gamit ang Reimage at tiyaking matagumpay ang pagtanggal ng WCrypt.

Umaasa kami na ang artikulong ito ay nakatulong sa iyo na malutas ang problema sa WCrypt virus!

Video: Ang Wanna Cry virus ay patuloy na nakahahawa sa mga computer system sa buong mundo

Ang Wanna Cry virus ay isang bagong uri ng pag-atake ng hacker, isang malisyosong ransomware program na ikinagulat ng mga PC at Internet user sa buong mundo. Paano gumagana ang Wanna Cry virus, posible bang protektahan ang iyong sarili mula dito, at kung gayon, paano? Wanna Cry virus, paglalarawan – uri ng malware na kabilang sa kategorya RansomWare , ransomware. Kapag napunta ito sa hard drive ng biktima, kumilos ang Wanna Cry ayon sa script ng "mga kasamahan" nito, tulad ng, pag-encrypt ng lahat ng personal na data ng lahat ng kilalang extension. Kapag sinusubukang tingnan ang isang file, nakikita ng user sa screen ang isang kinakailangan upang bayaran ang ika-10 halaga ng pera, na pagkatapos ay magpapadala ang umaatake ng mga tagubilin para sa pag-unlock.

Kadalasan ang pangingikil ng pera ay isinasagawa gamit ang SMS na muling pagdadagdag ng isang espesyal na nilikhang account, ngunit kamakailan lamang ay isang hindi kilalang serbisyo sa pagbabayad ang ginamit para dito. BitCoin.

Wanna Cry virus - kung paano ito gumagana. Ang Wanna Cry ay isang programa na tinatawag WanaCrypt0r 2.0, na eksklusibong umaatake sa mga PC na nagpapatakbo ng Windows. Gumagamit ang programa ng isang "butas" sa system upang tumagos - Microsoft Security Bulletin MS17-010, ang pagkakaroon nito ay hindi pa alam noon. Sa ngayon, hindi tiyak kung paano natuklasan ng mga hacker ang kahinaan ng MS17-010. Mayroong isang bersyon tungkol sa sabotahe ng mga tagagawa ng software ng anti-virus upang mapanatili ang pangangailangan, ngunit, siyempre, walang sinuman ang nagsusulat sa katalinuhan ng mga hacker mismo.

Nakalulungkot, ang Wanna Cry virus ay kumakalat sa pinakasimpleng paraan – sa pamamagitan ng email. Sa sandaling magbukas ka ng isang spam na email, ang encryptor ay inilunsad at ang mga naka-encrypt na file ay halos imposibleng mabawi.

Wanna Cry virus - kung paano protektahan ang iyong sarili, paggamot. Mga pag-atake ng WanaCrypt0r 2.0 gamit ang mga kahinaan sa mga serbisyo ng Windows network. Ito ay kilala na ang Microsoft ay naglabas na ng isang "patch" - patakbuhin lamang ang pag-update Windows Update sa pinakabagong bersyon. Kapansin-pansin na ang mga gumagamit lamang na bumili ng isang lisensyadong bersyon ng Windows ang mapoprotektahan ang kanilang computer at data - kung susubukan nilang mag-update ng isang pirated na bersyon, ang system ay hindi papasa sa pagsubok. Kinakailangan din na tandaan na ang Windows XP ay hindi na na-update, dahil, siyempre, ay mga naunang bersyon.

Mapoprotektahan mo ang iyong sarili mula sa Wanna Cry sa pamamagitan ng pagsunod sa ilang simpleng panuntunan:

• i-update ang system sa oras - lahat ng mga nahawaang PC ay hindi na-update
• gumamit ng lisensyadong OS
• huwag magbukas ng mga kahina-hinalang email
• huwag mag-click sa mga kahina-hinalang link na iniwan ng mga hindi mapagkakatiwalaang gumagamit

Ayon sa mga ulat ng media, maglalabas ang mga manufacturer ng antivirus software ng mga update para labanan ang Wanna Cry, kaya hindi dapat ipagpaliban ang pag-update ng iyong antivirus.

Ang Wanna Cry virus ay naging isang tunay na bangungot para sa kalahating milyong user sa buong mundo. Hindi lamang mga ordinaryong gumagamit, kundi pati na rin mga organisasyon ang nagdusa.

Ilang linggo lamang ang nakalipas, ang mundo ng Internet ay sumabog sa mga balita tungkol sa paglitaw ng isang bagong teknolohikal na banta, kung saan walang lunas sa oras na iyon. Ang Wanna Cry virus ay tumagos sa higit sa 500 libong mga computer at ganap na naparalisa ang kanilang trabaho. Anong uri ng banta ang walang katulad na puwersang ito at mayroon bang anumang kaligtasan mula rito? Subukan nating malaman ito.

Wanna Cry virus - paglalarawan

Sa literal na pagsasalin, ang pariralang Wanna Cry ay nangangahulugang "Gusto kong umiyak." At sa totoo lang, paano mo mapipigilan ang iyong mga luha kung hinaharangan ng isang masamang network worm ang operating system ng computer, literal na pinipigilan ang user na gumawa ng anuman, at bilang ransom, ang Wanna Cry ransomware ay humihingi ng deposito na $300, sa katumbas ng bitcoin, sa isang ilang electronic wallet. Iyon ay, imposibleng masubaybayan ang may-akda ng ransomware gamit ang karaniwang paraan ng paghahanap ng mga umaatake sa network.

Ang pinakamalakas na pag-atake ay naganap noong Mayo 12 ngayong taon. Mahigit sa 70 bansa ang naapektuhan sa panahon nito, at, gaya ng nalalaman ngayon, ang Wanna Cry encryption virus ay partikular na aktibo sa Russia, Ukraine at India. Ito ang mga bansa kung saan matatagpuan ang pinakamaraming biktima. Ngunit karamihan sa kanila ay mga ordinaryong gumagamit, ngunit sa mga bansa ng Europa at Amerika, ang mga hacker ay "dumaan" sa mga ahensya ng gobyerno. Ang mga ospital, kumpanya ng telekomunikasyon at maging ang mga ahensya ng gobyerno ay napilitang suspindihin ang mga operasyon dahil sa mga computer na nahawaan ng ransomware. Upang maging patas, nararapat na tandaan na sa Russian Federation maraming mga negosyo at mga munisipal na organisasyon ang inatake, ngunit, tila, ang sistema ng proteksyon ng anti-hacker ng Russia ay naging mas maaasahan kaysa sa dayuhan. Kaya, may mga ulat ng mga pagtatangka na i-hack ang mga sistema ng impormasyon ng Russian Railways, Ministry of Internal Affairs, Ministry of Emergency Situations, Central Bank, at mga kumpanya ng komunikasyon. Ngunit kahit saan, maaaring ang worm ay mabilis na na-localize, o ang mga pagtatangka na tumagos sa mga institusyonal na PC ay hindi nagtagumpay.

Paano nangyayari ang Wanna Cry virus infection?

Lahat ay nagtataka kung paano kumalat ang Wanna Cry virus? Bakit napakaraming gumagamit ang naging biktima nito?

Ang paraan ng pamamahagi ng ransomware ay napaka-simple. Ang virus ay nag-scan ng mga node nang direkta sa mga bukas na mapagkukunan sa Internet, kung saan makikita kung ang TCP 445 port, na responsable para sa paglilingkod sa remote file access protocol (SMBv1), ay bukas. Kung matukoy ang naturang computer, magsisimulang subukan ng malware na samantalahin ang kahinaan ng EternalBlue, at kung matagumpay ang kaganapang ito, naka-install ang DoublePulsar backdoor. Sa pamamagitan nito, nai-download ang executable code sa napiling computer. Maaaring may mga opsyon kapag ang backdoor ay naka-install na sa system bilang default, kung gayon ang gawain ng virus ay nagiging mas simple: i-download lang ang malisyosong impormasyon sa computer ng user.

Kapansin-pansin na ang virus ay maaari ring pumasok sa isang PC sa pamamagitan ng email kasama ang mga file na hindi umano nagdudulot ng hinala.

Paano gumagana ang Wanna Cry virus?

Kung hindi, ang ransomware virus ay kumikilos tulad ng anumang iba pang katulad na virus. Kaya, para sa bawat aparato ay bumubuo ito ng sarili nitong mga pares ng key, at pagkatapos nito ay "dumadaan" ito sa buong system, pumipili ng mga file ng ilang partikular na uri at i-encrypt ang mga ito gamit ang AES-128-CBC algorithm gamit ang random na nabuong key, na, naman, , ay naka-encrypt gamit ang isang RSA public key. Ito ang ipinapahiwatig ng Wanna Cry virus sa header ng naka-encrypt na file. Samakatuwid, ang paggamot ayon sa klasikal na pamamaraan ay lumalabas na walang silbi. Kinakailangan ang isang espesyal na diskarte.

Paano protektahan ang iyong sarili mula sa Wanna Cry virus

Ang proteksyon laban sa wanna cry virus ay hindi kasing kumplikado na tila sa unang tingin. Kailangan mo lang i-download ang patch mula sa Microsoft laban sa Wanna Cry virus.

Ginawa ng mga developer ang kanilang makakaya at mabilis, literal sa loob ng dalawang araw, naglabas ng mga espesyal na extension/update para sa ganap na lahat ng tumatakbong bersyon ng Windows, kabilang ang XP, na mayroon pa ring maraming user sa buong mundo.

Ito ay isang paraan upang maiwasan ang impeksyon sa panahon ng posibleng susunod na pag-atake ng Wanna Cry virus. Ngunit ano ang dapat gawin ng mga na-hack na ang mga computer? Sa kasamaang palad, imposibleng magsabi ng anumang bagay na nakapagpapatibay pa, dahil wala pang nakakapag-decrypt ng mga nasirang file. Ngunit maaari mong hindi bababa sa ihanda ang iyong sarili para sa isang posibleng pag-atake. Kaya, kung ang "patch" ng Microsoft sa mga lugar ng problema ay nakakita ng isang uod, tiyak na itatanong nito kung ano ang gagawin dito. Sa pangkalahatan, ang prinsipyo ay pareho sa daan-daang mga antivirus program.

Samakatuwid, sa tanong kung paano alisin ang Wanna Cry virus, ang sagot ay maaaring ang isa lamang at hindi ang pinaka-rosas na isa: pigilan lamang ang malisyosong executive code mula sa pagpasok sa iyong computer. At, siyempre, maghintay hanggang ang mga nangungunang developer ay magbigay ng isang malakas na antivirus na makatiis sa Wanna Cry.

Ang Mayo 2017 ay mapupunta sa mga talaan ng kasaysayan bilang isang madilim na araw para sa serbisyo ng seguridad ng impormasyon. Sa araw na ito, nalaman ng mundo na ang isang ligtas na virtual na mundo ay maaaring maging marupok at mahina. Ang isang ransomware virus na tinatawag na Wanna decryptor o wannacry ay nakakuha ng higit sa 150 libong mga computer sa buong mundo. Ang mga kaso ng impeksyon ay naitala sa higit sa isang daang bansa. Siyempre, ang pandaigdigang impeksyon ay nahinto, ngunit ang pinsala ay nasa milyun-milyon. Ang mga alon ng ransomware ay nakakaapekto pa rin sa ilang mga indibidwal na makina, ngunit ang salot ay hanggang ngayon ay napigilan at natigil.

WannaCry – ano ito at kung paano protektahan ang iyong sarili mula dito

Nabibilang ang Wanna decryptor sa isang pangkat ng mga virus na nag-e-encrypt ng data sa isang computer at nangikil ng pera mula sa may-ari. Karaniwan, ang halaga ng pag-ransom sa iyong data ay mula $300 hanggang $600. Sa loob ng isang araw, nagawa ng virus na mahawa ang isang munisipal na network ng mga ospital sa UK, isang malaking network ng telebisyon sa Europa, at maging bahagi ng mga computer ng Russian Ministry of Internal Affairs. Itinigil nila ito salamat sa isang masayang pagkakataon ng mga pangyayari sa pamamagitan ng pagrehistro ng domain ng pag-verify na binuo sa virus code ng mga tagalikha nito upang manu-manong ihinto ang pagkalat.

Ang isang virus ay nakakahawa sa isang computer sa parehong paraan tulad ng sa karamihan ng iba pang mga kaso. Pagpapadala ng mga liham, social profile at simpleng pag-surf sa esensya - ang mga pamamaraang ito ay nagbibigay ng pagkakataon sa virus na tumagos sa iyong system at i-encrypt ang lahat ng iyong data, ngunit maaari itong tumagos nang wala ang iyong mga tahasang aksyon sa pamamagitan ng isang kahinaan ng system at isang bukas na port.

Ang WannaCry ay tumagos sa port 445, gamit ang isang kahinaan sa Windows operating system, na kamakailan ay isinara ng mga inilabas na update. Kaya kung sarado ang port na ito para sa iyo o kamakailan mong na-update ang Windows mula sa opisina. site, pagkatapos ay hindi mo kailangang mag-alala tungkol sa impeksyon.

Gumagana ang virus ayon sa sumusunod na pamamaraan: sa halip na data sa iyong mga file, makakatanggap ka ng hindi maintindihan na mga squiggle sa wikang Martian, ngunit upang makakuha muli ng isang normal na computer, kailangan mong bayaran ang mga umaatake. Ang mga nagpakawala ng salot na ito sa mga kompyuter ng mga ordinaryong tao ay gumagamit ng mga bitcoin upang magbayad, kaya hindi posible na matukoy ang mga may-ari ng masamang Trojan. Kung hindi ka magbabayad sa loob ng 24 na oras, tataas ang halaga ng ransom.

Ang bagong bersyon ng Trojan ay isinalin bilang "Gusto kong umiyak" at ang pagkawala ng data ay maaaring magpaluha sa ilang mga gumagamit. Kaya mas mainam na gumawa ng mga hakbang sa pag-iwas at maiwasan ang impeksyon.

Sinasamantala ng ransomware ang isang kahinaan sa Windows na naayos na ng Microsot. Kailangan mo lang i-update ang iyong operating system sa security protocol na MS17-010 na may petsang Marso 14, 2017.

Siyanga pala, ang mga user lang na may lisensyadong operating system ang makakapag-update. Kung hindi ka isa sa mga taong ito, i-download lang ang update package at i-install ito nang manu-mano. Kailangan mo lang mag-download mula sa mga pinagkakatiwalaang mapagkukunan upang hindi makakuha ng impeksyon sa halip na pag-iwas.

Siyempre, ang proteksyon ay maaaring nasa pinakamataas na antas, ngunit marami ang nakasalalay sa mismong gumagamit. Tandaan na huwag magbukas ng mga kahina-hinalang link na dumarating sa iyo sa pamamagitan ng email o sa iyong social profile.

Paano gamutin ang Wanna decryptor virus

Ang mga nahawahan na ng mga computer ay dapat maghanda para sa mahabang proseso ng paggamot.

Ang virus ay tumatakbo sa computer ng gumagamit at lumilikha ng ilang mga programa. Ang isa sa kanila ay nagsisimulang mag-encrypt ng data, ang isa ay nagbibigay ng komunikasyon sa ransomware. Lumilitaw ang isang inskripsiyon sa monitor ng iyong trabaho, na nagpapaliwanag sa iyo na naging biktima ka ng isang virus at nag-aalok na mabilis na maglipat ng pera. Kasabay nito, hindi ka maaaring magbukas ng isang solong file, at ang mga extension ay binubuo ng hindi maintindihan na mga titik.

Ang unang aksyon na sinusubukang gawin ng user ay ang pagbawi ng data gamit ang mga serbisyong nakapaloob sa Windows. Ngunit kapag pinatakbo mo ang utos, alinman ay walang mangyayari o ang iyong mga pagsisikap ay magiging walang kabuluhan - ang pag-alis ng Wanna Decryptor ay hindi napakadali.

Ang isa sa mga pinakamadaling paraan upang gamutin ang isang virus ay ang muling pag-install ng system. Sa kasong ito, mawawala mo hindi lamang ang data na nasa disk na may naka-install na system. Pagkatapos ng lahat, para sa isang kumpletong pagbawi, kakailanganin mong i-format ang buong hard drive. Kung hindi ka pa handang gumawa ng mga ganitong marahas na hakbang, maaari mong subukang manu-manong gamutin ang system:

1. I-download ang pag-update ng system na inilarawan sa itaas sa artikulo.
2. Susunod, idiskonekta mula sa Internet
3. Inilunsad namin ang command line ng cmd at hinarangan ang port 445, kung saan ang virus ay tumagos sa computer. Ginagawa ito gamit ang sumusunod na utos:
   netsh advfirewall firewall magdagdag ng panuntunan dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
4. Susunod, sinisimulan namin ang system sa safe mode. Kapag naglo-load, pindutin nang matagal ang F8, tatanungin ka mismo ng system kung paano sisimulan ang computer. Kailangan mong piliin ang "Safe Mode".
5. Hinahanap at tinanggal namin ang folder na may virus, maaari mong mahanap ito sa pamamagitan ng pag-click sa shortcut ng virus at pag-click sa "Lokasyon ng file".
6. I-restart namin ang computer sa normal na mode at i-install ang update para sa system na na-download namin, i-on ang Internet at i-install ito.

Gustong umiyak – kung paano i-decrypt ang mga file

Kung ganap mong naalis ang lahat ng mga pagpapakita ng virus, oras na upang simulan ang pag-decrypting ng data. At kung sa tingin mo ay tapos na ang pinakamahirap na bahagi, kung gayon ikaw ay nagkakamali. Mayroong kahit isang kaso sa kasaysayan kung saan ang mga mismong lumikha ng ransomware ay hindi nakatulong sa gumagamit na nagbayad sa kanila at nagpadala sa kanya sa serbisyo ng teknikal na suporta ng antivirus.

Ang pinakamagandang opsyon ay tanggalin ang lahat ng data at . Ngunit kung walang ganoong kopya, pagkatapos ay kailangan mong mamilipit. Tutulungan ka ng mga decryption program. Totoo, walang programa ang makakagarantiya ng isang daang porsyentong resulta.

Mayroong ilang mga simpleng program na maaaring humawak ng data decryption - halimbawa, Shadow Explorer o Windows Data recovery. Ito rin ay nagkakahalaga ng pagtingin sa Kaspersky Lab, na pana-panahong naglalabas ng mga decryptor - http://support.kaspersky.ru/viruses/utility

Napakahalaga! Patakbuhin lamang ang mga programa ng decryptor pagkatapos mong alisin ang lahat ng mga pagpapakita ng virus, kung hindi man ay nanganganib kang makapinsala sa system o mawalan muli ng data.

Ipinakita ng Wanna decryptor kung gaano karupok ang sistema ng seguridad ng anumang malaking negosyo o kahit na ahensya ng gobyerno. Kaya ang buwan ng Mayo ay naging pahiwatig para sa maraming bansa. Sa pamamagitan ng paraan, sa Russian Ministry of Internal Affairs lamang ang mga makina na gumagamit ng Windows ang naapektuhan, ngunit ang mga computer kung saan naka-install ang Russian-developed na Elbrus operating system ay hindi apektado.

Anong mga paraan ng paggamot ang natulungan ka ng Wanna decryptor? Sumulat ng komento sa artikulong ito at ibahagi sa iba.

Mag-subscribe sa mga bagong artikulo para hindi ka makaligtaan!

Ang WannaCry ay isang espesyal na programa na humaharang sa lahat ng data sa system at nag-iiwan lamang sa user ng dalawang file: mga tagubilin kung ano ang susunod na gagawin, at ang Wanna Decryptor program mismo - isang tool para sa pag-unlock ng data.

Karamihan sa mga kumpanya ng seguridad sa computer ay may mga ransom decryption tool na maaaring makalampas sa software. Para sa mga ordinaryong mortal, ang paraan ng "paggamot" ay hindi pa rin alam.

WannaCry Decryptor ( o WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), ay tinatawag nang "virus ng 2017." At hindi sa lahat nang walang dahilan. Sa loob lamang ng unang 24 na oras mula nang magsimula itong kumalat, ang ransomware na ito ay nahawahan ng higit sa 45,000 mga computer. Ang ilang mga mananaliksik ay naniniwala na sa ngayon (Mayo 15) higit sa isang milyong mga computer at server ang nahawahan na. Paalalahanan po namin kayo na nagsimulang kumalat ang virus noong Mayo 12. Ang unang naapektuhan ay ang mga user mula sa Russia, Ukraine, India at Taiwan. Sa ngayon, mabilis na kumakalat ang virus sa Europe, USA at China.

Ang impormasyon ay naka-encrypt sa mga computer at server ng mga ahensya ng gobyerno (partikular ang Russian Ministry of Internal Affairs), mga ospital, transnational na korporasyon, unibersidad at paaralan.

Naparalisa ng Wana Decryptor (Wanna Cry o Wana Decrypt0r) ang gawain ng daan-daang kumpanya at ahensya ng gobyerno sa buong mundo

Sa esensya, ang WinCry (WannaCry) ay isang pagsasamantala ng pamilyang EternalBlue, na gumagamit ng medyo lumang kahinaan sa Windows operating system (Windows XP, Windows Vista, Windows 7, Windows 8 at Windows 10) at tahimik na naglo-load sa sarili nito sa system. Pagkatapos, gamit ang mga algorithm na lumalaban sa decryption, ine-encrypt nito ang data ng user (mga dokumento, larawan, video, spreadsheet, database) at humihingi ng ransom para sa pag-decryption ng data. Ang scheme ay hindi bago, patuloy kaming nagsusulat tungkol sa mga bagong uri ng mga file encryptors - ngunit ang paraan ng pamamahagi ay bago. At ito ay humantong sa isang epidemya.

Paano gumagana ang virus

Ini-scan ng malware ang Internet para sa mga host na naghahanap ng mga computer na may bukas na TCP port 445, na responsable para sa pagseserbisyo sa SMBv1 protocol. Ang pagkakaroon ng nakitang ganoong computer, ang program ay gumagawa ng ilang mga pagtatangka upang pagsamantalahan ang EternalBlue na kahinaan dito at, kung matagumpay, i-install ang DoublePulsar backdoor, kung saan ang executable code ng WannaCry program ay nai-download at inilunsad. Sa bawat pagtatangkang pagsasamantala, sinusuri ng malware ang presensya ng DoublePulsar sa target na computer at, kung matukoy, direktang nagda-download sa backdoor na ito.

Sa pamamagitan ng paraan, ang mga landas na ito ay hindi sinusubaybayan ng mga modernong antivirus program, na siyang naging dahilan ng pagkalat ng impeksyon. At ito ay isang malaking cobblestone sa hardin ng mga anti-virus software developer. Paano ito hahayaang mangyari? Para saan ka kumukuha ng pera?

Sa sandaling inilunsad, ang malware ay kumikilos tulad ng isang klasikong ransomware: bumubuo ito ng isang natatanging asymmetric na RSA-2048 key pares para sa bawat nahawaang computer. Pagkatapos, sinimulan ng WannaCry na i-scan ang system sa paghahanap ng mga file ng user ng ilang partikular na uri, na iniiwan ang mga kritikal para sa karagdagang paggana nito nang hindi nagalaw. Ang bawat napiling file ay naka-encrypt gamit ang AES-128-CBC algorithm na may susi na natatangi (random) para sa bawat isa sa kanila, na kung saan ay naka-encrypt gamit ang pampublikong RSA key ng nahawaang system at naka-imbak sa header ng naka-encrypt na file. Sa kasong ito, idinagdag ang extension sa bawat naka-encrypt na file .wncry. Ang pares ng RSA key ng nahawaang system ay naka-encrypt gamit ang pampublikong susi ng mga umaatake at ipinadala sa kanilang mga control server na matatagpuan sa network ng Tor, pagkatapos nito ang lahat ng mga susi ay tatanggalin mula sa memorya ng nahawaang makina. Pagkatapos makumpleto ang proseso ng pag-encrypt, ang programa ay nagpapakita ng isang window na humihiling sa iyo na ilipat ang isang tiyak na halaga ng Bitcoin (katumbas ng $300) sa tinukoy na wallet sa loob ng tatlong araw. Kung ang ransom ay hindi natanggap sa oras, ang halaga nito ay awtomatikong madodoble. Sa ikapitong araw, kung hindi maalis ang WannaCry sa nahawaang sistema, masisira ang mga naka-encrypt na file. Ang mensahe ay ipinapakita sa wikang naaayon sa naka-install sa computer. Sa kabuuan, sinusuportahan ng programa ang 28 wika. Kaayon ng pag-encrypt, sinusuri ng programa ang arbitrary na Internet at mga lokal na address ng network para sa kasunod na impeksyon ng mga bagong computer.

Ayon sa pananaliksik ng Symantec, ang algorithm ng mga umaatake para sa pagsubaybay sa mga indibidwal na pagbabayad sa bawat biktima at pagpapadala sa kanila ng decryption key ay ipinatupad na may error sa kundisyon ng lahi. Ginagawa nitong walang kabuluhan ang mga pagbabayad ng ransom, dahil hindi ipapadala ang mga indibidwal na susi sa anumang kaso, at mananatiling naka-encrypt ang mga file. Gayunpaman, mayroong isang maaasahang paraan upang i-decrypt ang mga file ng user na mas maliit sa 200 MB, at mayroon ding ilang pagkakataon na mabawi ang mas malalaking file. Bilang karagdagan, sa mga hindi napapanahong Windows XP at Windows Server 2003 system, dahil sa mga kakaiba ng pagpapatupad ng system ng algorithm para sa pagkalkula ng mga pseudo-random na numero, posible pa ring mabawi ang mga pribadong RSA key at i-decrypt ang lahat ng mga apektadong file kung ang computer ay wala. na-reboot mula noong sandali ng impeksyon. Nang maglaon, pinalawak ng isang pangkat ng mga French cybersecurity expert mula sa Comae Technologies ang feature na ito sa Windows 7 at ipinatupad ito sa pamamagitan ng pag-publish ng utility sa pampublikong domain. WanaKiwi, na nagbibigay-daan sa iyong i-decrypt ang mga file nang walang ransom.

Kasama sa code ng mga unang bersyon ng programa ang isang mekanismo ng pagsira sa sarili, ang tinatawag na Kill Switch - sinuri ng programa ang pagkakaroon ng dalawang partikular na domain sa Internet at, kung naroroon sila, ay ganap na inalis mula sa computer. Ito ay unang natuklasan ni Marcus Hutchins noong Mayo 12, 2017. (Ingles) Ruso , isang 22-taong-gulang na analyst ng virus para sa kumpanyang British na Kryptos Logic, na nagsusulat sa Twitter sa ilalim ng palayaw na @MalwareTechBlog, at nagrehistro ng isa sa mga domain sa kanyang pangalan. Kaya, nagawa niyang pansamantalang harangan ang pagkalat ng pagbabagong ito ng malisyosong programa. Noong Mayo 14, nairehistro ang pangalawang domain. Sa mga kasunod na bersyon ng virus, ang mekanismong ito na hindi nagpapagana sa sarili ay tinanggal, ngunit hindi ito ginawa sa source program code, ngunit sa pamamagitan ng pag-edit ng executable file, na nagmumungkahi na ang pinagmulan ng pag-aayos na ito ay hindi mula sa mga may-akda ng orihinal na WannaCry , ngunit mula sa mga third-party na umaatake. Bilang resulta, nasira ang mekanismo ng pag-encrypt, at ang bersyong ito ng worm ay maaari lamang kumalat sa sarili nito sa pamamagitan ng paghahanap ng mga masusugatan na computer, ngunit hindi ito kayang magdulot ng direktang pinsala sa kanila.

Ang mataas na rate ng pagkalat ng WannaCry, na natatangi sa ransomware, ay sinisiguro sa pamamagitan ng pagsasamantala ng isang kahinaan sa SMB network protocol ng Microsoft Windows operating system na inilathala noong Pebrero 2017, na inilarawan sa bulletin MS17-010. Kung sa klasikong pamamaraan ang ransomware ay napunta sa computer salamat sa mga aksyon ng user mismo sa pamamagitan ng email o web link, kung gayon sa kaso ng WannaCry ang paglahok ng user ay ganap na hindi kasama. Ang oras sa pagitan ng pagtuklas ng isang mahinang computer at ang kumpletong impeksyon nito ay humigit-kumulang 3 minuto.

Kinumpirma ng kumpanya ng pag-unlad ang pagkakaroon ng kahinaan sa ganap na lahat ng produkto ng user at server na may pagpapatupad ng SMBv1 protocol - simula sa Windows XP/Windows Server 2003 at nagtatapos sa Windows 10/Windows Server 2016. Noong Marso 14, 2017, Naglabas ang Microsoft ng isang serye ng mga update na idinisenyo upang i-neutralize ang kahinaan sa lahat ng sinusuportahang OS. Kasunod ng pagkalat ng WannaCry, ang kumpanya ay gumawa ng hindi pa nagagawang hakbang ng pagpapalabas din ng mga update para sa mga end-of-support na produkto (Windows XP, Windows Server 2003 at Windows 8) noong ika-13 ng Mayo.

Pagkalat ng WannaCry virus

Ang virus ay maaaring kumalat sa iba't ibang paraan:

• Sa pamamagitan ng isang network ng computer;
• Sa pamamagitan ng koreo;
• Sa pamamagitan ng browser.

Sa personal, hindi ko lubos na naiintindihan kung bakit ang koneksyon sa network ay hindi na-scan ng antivirus. Ang parehong paraan ng impeksyon tulad ng sa pamamagitan ng pagbisita sa isang website o browser ay nagpapatunay sa kawalan ng kakayahan ng mga developer at na ang hiniling na mga pondo para sa lisensyadong software upang maprotektahan ang isang PC ay hindi makatwiran sa anumang paraan.

Mga sintomas ng impeksyon at paggamot ng virus

Pagkatapos ng matagumpay na pag-install sa PC ng gumagamit, sinusubukan ng WannaCry na kumalat sa lokal na network sa iba pang mga PC tulad ng isang uod. Natatanggap ng mga naka-encrypt na file ang extension ng system na .WCRY at nagiging ganap na hindi nababasa at hindi posibleng i-decrypt ang mga ito nang mag-isa. Pagkatapos ng buong pag-encrypt, binabago ng Wcry ang desktop wallpaper at nag-iiwan ng "mga tagubilin" para sa pag-decrypt ng mga file sa mga folder na may naka-encrypt na data.

Noong una, nangikil ang mga hacker ng $300 para sa mga decryption key, ngunit pagkatapos ay itinaas ang figure na ito sa $600.

Paano maiiwasan ang iyong PC na mahawa ng WannaCry Decryptor ransomware?

I-download ang pag-update ng operating system mula sa website ng Microsoft.

Ano ang gagawin Infected ba ang PC mo?

Gamitin ang mga tagubilin sa ibaba upang subukang bawiin ang hindi bababa sa ilan sa impormasyon sa nahawaang PC. I-update ang iyong antivirus at i-install ang patch ng operating system. Ang isang decryptor para sa virus na ito ay hindi pa umiiral sa kalikasan. Lubos naming inirerekumenda na magbayad ng ransom sa mga umaatake - walang garantiya, kahit kaunti, na ide-decrypt nila ang iyong data pagkatapos matanggap ang ransom.

Alisin ang WannaCry ransomware gamit ang isang awtomatikong tagapaglinis

Isang napaka-epektibong paraan ng pagtatrabaho sa malware sa pangkalahatan at partikular sa ransomware. Ang paggamit ng isang napatunayang proteksiyon complex ay ginagarantiyahan ang masusing pagtuklas ng anumang mga bahagi ng viral at ang kanilang kumpletong pag-alis sa isang pag-click. Pakitandaan na pinag-uusapan natin ang tungkol sa dalawang magkaibang proseso: pag-uninstall ng impeksyon at pagpapanumbalik ng mga file sa iyong PC. Gayunpaman, ang banta ay tiyak na kailangang alisin, dahil mayroong impormasyon tungkol sa pagpapakilala ng ibang mga Trojan ng computer na gumagamit nito.

1. I-download ang WannaCry virus removal program. Pagkatapos simulan ang software, i-click ang pindutan Simulan ang Computer Scan(Simulan ang pag-scan). I-download ang ransomware removal program WannaCry .
2. Ang naka-install na software ay magbibigay ng ulat sa mga banta na nakita sa panahon ng pag-scan. Upang alisin ang lahat ng nakitang pagbabanta, piliin ang opsyon Ayusin ang mga Banta(Alisin ang mga pagbabanta). Ang malware na pinag-uusapan ay ganap na aalisin.

Ibalik ang access sa mga naka-encrypt na file

Gaya ng nabanggit, ang no_more_ransom ransomware ay nagla-lock ng mga file gamit ang isang malakas na algorithm ng pag-encrypt, upang ang naka-encrypt na data ay hindi maibalik sa pamamagitan ng isang wave ng magic wand - kulang sa pagbabayad ng hindi pa naririnig na halaga ng ransom. Ngunit ang ilang mga pamamaraan ay maaari talagang maging isang lifesaver na makakatulong sa iyong mabawi ang mahalagang data. Sa ibaba maaari mong maging pamilyar sa kanila.

Awtomatikong programa sa pagbawi ng file (decryptor)

Ang isang napaka hindi pangkaraniwang pangyayari ay kilala. Binubura ng impeksyong ito ang orihinal na mga file sa hindi naka-encrypt na anyo. Ang proseso ng pag-encrypt para sa mga layunin ng pangingikil ay nagta-target ng mga kopya ng mga ito. Ginagawa nitong posible para sa software tulad ng Data Recovery Pro ibalik ang mga nabura na bagay, kahit na ang pagiging maaasahan ng kanilang pag-alis ay ginagarantiyahan. Lubhang inirerekumenda na gamitin ang pamamaraan ng pagbawi ng file ay walang pag-aalinlangan.

Mga anino na kopya ng mga volume

Ang diskarte ay batay sa proseso ng pag-backup ng file ng Windows, na paulit-ulit sa bawat punto ng pagbawi. Isang mahalagang kondisyon para gumana ang pamamaraang ito: ang function na "System Restore" ay dapat na i-activate bago ang impeksyon. Gayunpaman, ang anumang mga pagbabago sa file na ginawa pagkatapos ng restore point ay hindi lalabas sa naibalik na bersyon ng file.

Backup

Ito ang pinakamaganda sa lahat ng pamamaraang hindi pantubos. Kung ang pamamaraan para sa pag-back up ng data sa isang panlabas na server ay ginamit bago ang pag-atake ng ransomware sa iyong computer, upang maibalik ang mga naka-encrypt na file kailangan mo lang ipasok ang naaangkop na interface, piliin ang mga kinakailangang file at ilunsad ang mekanismo ng pagbawi ng data mula sa backup. Bago isagawa ang operasyon, dapat mong tiyakin na ang ransomware ay ganap na naalis.

Suriin ang mga posibleng natitirang bahagi ng WannaCry ransomware

Ang manu-manong paglilinis ay nanganganib na mawalan ng mga indibidwal na piraso ng ransomware na maaaring makatakas sa pag-alis bilang mga nakatagong operating system object o registry item. Upang alisin ang panganib ng bahagyang pagpapanatili ng mga indibidwal na nakakahamak na elemento, i-scan ang iyong computer gamit ang isang maaasahang pakete ng software ng seguridad na dalubhasa sa nakakahamak na software.

Pagde-decode

Ngunit walang impormasyon mula sa mga nagbayad para sa pag-decryption, tulad ng walang impormasyon tungkol sa intensyon ng mga hacker na kalmado ang mga kaluluwa ng mga tao at i-decrypt ang impormasyon pagkatapos ng pagbabayad ((((

Ngunit sa hub mayroong impormasyon tungkol sa prinsipyo ng pagpapatakbo ng pindutan ng Decrypt, pati na rin ang katotohanan na ang mga umaatake ay walang paraan upang makilala ang mga gumagamit na nagpadala ng mga bitcoin, na nangangahulugang walang sinuman ang magbabalik ng anuman sa mga biktima:

“Gumagawa ang cryptor ng dalawang uri ng mga file: una, ang ilang bahagi ay naka-encrypt gamit ang 128-bit AES, at ang nabuong decryption key ay direktang idinagdag sa naka-encrypt na file. Ang mga file na naka-encrypt sa ganitong paraan ay binibigyan ng extension .wncyr at ito ang mga nade-decrypt kapag nag-click ka sa Decrypt. Ang karamihan sa mga naka-encrypt na bagay ay nakakakuha ng extension .wncry at wala na doon ang susi.
Sa kasong ito, ang pag-encrypt ay hindi nagaganap sa mismong file, ngunit unang nilikha ang isang file sa disk kung saan inilalagay ang naka-encrypt na nilalaman, at pagkatapos ay ang orihinal na file ay tinanggal. Alinsunod dito, sa loob ng ilang panahon ay may pagkakataon na mabawi ang bahagi ng data gamit ang iba't ibang mga undelete na utility.
Upang labanan ang mga naturang kagamitan, ang cryptor ay patuloy na nagsusulat ng lahat ng uri ng basura sa disk, upang ang puwang sa disk ay natupok nang mabilis.
Ngunit kung bakit wala pa ring impormasyon tungkol sa pagbabayad at mga mekanismo para sa pagpapatunay nito ay talagang nakakagulat. Marahil ang medyo disenteng halaga ($300) na kinakailangan para sa naturang tseke ay may epekto.”

Ang mga lumikha ng WannaCry virus ay lumampas sa pansamantalang proteksyon sa anyo ng isang walang kabuluhang domain

Ang mga lumikha ng WannaCry ransomware virus, na nakaapekto sa mga computer sa higit sa 70 bansa, ay naglabas ng bagong bersyon nito. Kulang ito ng code para sa pag-access sa isang walang kabuluhang domain, na ginamit upang maiwasan ang pagkalat ng orihinal na virus, isinulat ng Motherboard. Nakatanggap ang publikasyon ng kumpirmasyon ng paglitaw ng isang bagong bersyon ng virus mula sa dalawang espesyalista na nag-aral ng mga bagong kaso ng impeksyon sa computer. Ang isa sa kanila ay si Costin Raiu, pinuno ng internasyonal na pangkat ng pananaliksik sa Kaspersky Lab.

Hindi tinukoy ng mga eksperto kung may iba pang pagbabagong lumitaw sa WannaCry.