Новий вірус-шифрувальник WannaCry або WanaDecryptor 2.0, що залишає замість даних користувача зашифровані файли.wncry, стрясає простори Інтернету. Вражені сотні тисяч комп'ютерів та ноутбуків у всьому світі. Постраждали не лише звичайні користувачі, але й мережі таких великих компаній як Ощадбанк, Ростелеком, Білайн, Мегафон, РЖД і навіть МВС Росії.

Таку масовість поширення вірусу-здирнику забезпечило використання нових уразливостей операційних систем сімейства Windows, які були розсекречені з документами спецслужб США.

WanaDecryptor, Wanna Cry, WanaCrypt чи Wana Decryptor — яка назва правильна?

На той час, коли почалася вірусна атака на глобальне павутиння, ще ніхто не знав, як точно називається нова зараза. Спочатку її називали Wana Decrypt0rза назвою вікна з повідомленням, що виникало на робочому столі. Дещо пізніше з'явилася нова модифікація шифрувальника. Wanna Decrypt0r 2.0. Але знову ж таки, це вікно-вимагач, яке фактично продає користувачеві ключ-декриптор, який теоретично повинен прийти потерпілому після того, як він переведе шахраям потрібну суму. Сам вірус, як виявилося, називається Wanna Cry(Ванна Край).
В Інтернеті досі можна зустріти різні його найменування. Часто користувачі замість літери «o» ставлять цифру «0» і навпаки. Також велику плутанину вносять різні маніпуляції з пробілами, наприклад WanaDecryptor і Wana Decryptor, або WannaCry і Wanna Cry.

Як працює шифрувальник WanaDecryptor

Принцип роботи цього здирника докорінно відрізняється від попередніх вірусів-шифрувальників, з якими ми зустрічалися. Якщо раніше для того, щоб зараза почала працювати на комп'ютері, треба було спочатку її запустити. Тобто вухатому користувачеві приходив лист поштою з хитрим вкладенням - скриптом, що маскується по який-небудь документ. Людина запускав виконуваний файл і цим активував зараження ОС. Вірус Ванна Край працює інакше. Йому не треба намагатися обдурити користувача, достатньо щоб у того була доступна критична вразливість служби загального доступу до файлів SMBv1, що використовує 445 порт. До речі, ця уразливість стала доступна завдяки інформації з архівів американських спецслужб, опублікованій на сайті wikileaks.
Потрапивши на комп'ютер жертви WannaCrypt починає масово шифрувати файли своїм дуже стійким алгоритмом. В основному поразки піддаються такі формати:

key, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, синя, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

У зашифрованого файлу змінюється розширення на .wncry. У кожну папку вірус здирник може додати ще два файли. Перший - це інструкція, де описано як робиться розшифровка wncry-файлу Please_Read_Me.txt, а другий - додаток-дектиптор WanaDecryptor.exe.
Ця пакість працює тихо-мирно доти, доки не вразить весь жорсткий диск, після чого видасть вікно WanaDecrypt0r 2.0 з вимогою дати грошей. Якщо користувач не дав йому допрацювати до кінця і антивірус зміг видалити програму-криптор, на робочому столі з'явиться таке повідомлення:

Тобто користувача попереджають, що частина його файлів вже вражена, і якщо Ви бажаєте отримати їх назад, поверніть криптор назад. Ага зараз! У жодному разі цього не робіть, інакше втратите й інше. Увага! Як розшифрувати файли WNCRY ніхто не знає. Бувай. Можливо, пізніше якийсь засіб розшифровки з'явиться — поживемо, побачимо.

Захист від вірусу Wanna Cry

Взагалі, патч Майкрософт MS17-010 для захисту від щифрувальника Wanna Decryptor вийшов ще 12 травня і якщо на вашому ПК служба оновлення Windows працює нормально, то
швидше за все операційну систему вже захищено. В іншому випадку потрібно завантажити цей патч Microsoft для своєї версії Віндовс і терміново встановити його.
Потім бажано вимкнути взагалі підтримку SMBv1. Хоча б поки не схлине хвиля епідемії та ситуація не встаканиться. Зробити це можна або з командного рядка з правами адміністратора, ввівши команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Ось таким чином:

Або через панель керування Windows. Там необхідно зайти в розділ "Програми та компоненти", вибрати в меню "Увімкнення або вимкнення компонентів Windows". З'явиться вікно:

Знаходимо пункт "Підтримка загального доступу до файлів SMB 1.0/CIFS", знімаємо з нього галочку і тиснемо на "ОК".

Якщо раптом з відключенням підтримки SMBv1 виникли проблеми, то для захисту Wanacrypt0r 2.0 можна піти іншим шляхом. Створіть правило, що використовується в системі фаєрволе, що блокує порти 135 і 445. Для стандартного брандмауера Windows потрібно ввести в командному рядку наступне:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Close_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Close_TCP-445"

Ще варіант - скористатися спеціальним безкоштовним додатком Windows Worms Doors Cleaner:

Воно не вимагає установки і дозволяє без проблем перекрити проломи в системі, через які може пролізти вірус-шифрувальник.

Ну і звичайно ж не можна забувати про антивірусний захист. Використовуйте лише перевірені антивірусні продукти – DrWeb, Kaspersky Internet Security, E-SET Nod32. Якщо антивірус у Вас вже встановлений, обов'язково оновіть його бази:

Насамкінець дам невелику пораду. Якщо у Вас є дуже важливі дані, які вкрай небажано втратити — збережіть їх на жорсткий диск, що знімається, і покладіть у шафу. Хоча б на час епідемії. Тільки так можна хоч якось гарантувати їхню безпеку, адже ніхто не знає яка буде наступна модифікація.

Якщо комп'ютер з операційною системою Windows не перезавантажувався, то дані і ним можна зберегти, минаючи викуп, необхідний вірусом WannaCry. Ключ до рішення міститься в самій операційній системі, — заявляють фахівець з інтернет-безпеки Quarkslab Адрієн Гіне, всесвітньо відомий хакер Метт Сюїш та фрілансер Бенжамен Дельпі. Сама система запобігає знищенню файлів після закінчення терміну, призначеного для сплати викупу. Цей метод використовується у всіх версіях Windows. Новий інструмент для збереження даних фахівці назвали Wanakiwi. В своєму блозіМетт Сюїш опублікував подробиці застосування відкритого способу боротьби з вірусом, описав всі технічні деталі.

Не всі файли не відновлюються

Це пояснює чому були твердження, що деякі інструменти доступні для розшифровки всіх файлів, заблокованих WannaCry. На жаль, з нашого аналізу того, як працює це здирство, здається, що тільки кілька файлів, зашифрованих демо-ключом, можуть бути розшифровані інструментом.

Але може бути якась надія. Файли, які зберігаються на робочому столі, моїх документах або на будь-яких знімних дисках комп'ютера під час зараження, перезаписуються випадково згенерованими даними та видаляються. Це означає, що неможливо відновити їх за допомогою засобу відновлення файлів або відновлення диска.

Однак через можливі слабкі місця в шкідливому ПЗ можна відновити інші зашифровані файли в системі, коли вони були збережені за межами цих трьох місць, використовуючи засіб відновлення диска, так як більшість файлів переміщаються в тимчасову папку і потім, як правило, видаляється, але не перезаписується за допомогою очисника. Однак, коефіцієнт відновлення може відрізнятися в різних системах, оскільки віддалений файл може бути перезаписаний іншими операціями з дисками.

Коротше кажучи, можна відновити деякі файли, які були зашифровані за допомогою WannaCrypt, але не заплатили викуп, проте відновлення файлів без резервного копіювання в даний час є неможливим.

Як примітки з безпеки, будьте обережні з будь-якими сервісами, що пропонують розшифрувати всі файли і т. д., оскільки ці розшифровувачі цілком можуть бути приховані шкідливими програмами.

Ми перевірили відновлення файлів за допомогою засобу відновлення диска Disk Drill , на скріншоті нижче показані видалені файли, які були виявлені та відновлені за допомогою цього інструменту:

Іноді творці програм-вимагачів припускаються помилок у коді. Ці помилки можуть допомогти постраждалим отримати доступ до своїх файлів після зараження. У нашій статті коротко описано кілька помилок, допущених розробниками здирника WannaCry.

Помилки у логіці видалення файлу

Коли Wannacry шифрує файли на комп'ютері жертви, він читає вміст оригінального файлу, шифрує його і зберігає файл із розширенням «.WNCRYT». Після закінчення процесу шифрування він переміщає файл з розширенням ".WNCRYT" у файл ".WNCRY" і видаляє оригінальний файл. Логіка цього видалення може змінюватись в залежності від розташування та властивостей оригінальних файлів.

При розміщенні файлів на системному диску:

Якщо файл знаходиться в «важливій» папці (з точки зору розробників здирника, наприклад на робочому столі або в папці «Документи»), перед видаленням, поверх нього будуть записані випадкові дані. У цьому випадку способів відновити вміст вихідного файлу немає.

Якщо файл зберігається поза «важливими» папками, то оригінальний файл буде переміщений до папки %TEMP%\%d.WNCRYT (де %d – це числове значення). Такий файл містить початкові дані, поверх яких нічого не пишеться - він просто видаляється з диска. Тому існує висока ймовірність, що його можна буде відновити за допомогою програм відновлення даних.

Перейменовані оригінальні файли, які можна відновити з каталогу %TEMP%

При розміщенні файлів на інших (несистемних) дисках:

• Вимагач створює папку "$RECYCLE" і задає їй атрибути "прихована" та "системна". У результаті папка стає невидимою у Провіднику Windows, якщо конфігурація Провідника встановлено за промовчанням. За планом, оригінальні файли після шифрування будуть переміщені в цю папку.

Процедура, що визначає тимчасову директорію для зберігання оригінальних файлів перед видаленням

• Однак через помилки синхронізації в коді здирника оригінальні файли в багатьох випадках залишаються в тій же директорії і не переміщуються в папку $RECYCLE.
• Оригінальні файли видаляються небезпечно. Цей факт уможливлює відновлення віддалених файлів за допомогою програм відновлення даних.

Оригінальні файли, які можна відновити з несистемного диска

Процедура, що генерує тимчасовий шлях для оригінального файлу

Ділянка коду, що викликає описані вище процедури

Помилка обробки файлів із захистом від запису

Аналізуючи WannaCry, ми також виявили, що у здирнику допущена помилка в обробці файлів із захистом від запису. Якщо на зараженому комп'ютері є такі файли, то здирник їх не зашифрує взагалі: будуть створені зашифровані копії кожного такого файлу, а оригінальні файли тільки отримають атрибут «прихований». У такому разі їх легко знайти та відновити їх нормальні атрибути.

Оригінальні файли із захистом від запису не зашифровуються та нікуди не переміщаються

Висновки

В результаті проведеного нами глибокого дослідження даного здирника стає зрозуміло, що його розробники припустилися безлічі помилок, а якість коду досить низька, як ми зазначили вище.

Якщо ваш комп'ютер був заражений здирником WannaCry, існує велика ймовірність, що ви зможете відновити багато зашифрованих файлів. Для цього можна скористатися безкоштовними утилітами для відновлення файлів.

Якщо на комп'ютері з'явилося текстове повідомлення, в якому написано, що файли зашифровані, то не поспішайте панікувати. Які ознаки шифрування файлів? Звичне розширення змінюється на *.vault, *.xtbl, * [email protected] _XO101 і т.д. Відкрити файли не можна – потрібен ключ, який можна придбати, надіславши листа на вказану в повідомленні адресу.

Звідки у вас зашифровані файли?

Комп'ютер підхопив вірус, який закрив доступ до інформації. Часто антивіруси їх пропускають, тому що в основі цієї програми зазвичай лежить якась невинна безкоштовна утиліта шифрування. Сам вірус ви видалите досить швидко, але з розшифровкою інформації можуть виникнути серйозні проблеми.

Технічна підтримка Лабораторії Касперського, Dr.Web та інших відомих компаній, які займаються розробкою антивірусного програмного забезпечення, у відповідь на прохання користувачів розшифрувати дані повідомляє, що зробити це за прийнятний час неможливо. Є кілька програм, які можуть підібрати код, але вони вміють працювати тільки з раніше вивченими вірусами. Якщо ви зіткнулися з новою модифікацією, то шансів на відновлення доступу до інформації надзвичайно мало.

Як вірус-шифрувальник потрапляє на комп'ютер?

У 90% випадків користувачі самі активують вірус на комп'ютері, відкриваючи невідомі листи. Після цього на e-mail приходить послання з провокаційною темою – «Порядок денний до суду», «Заборгованість за кредитом», «Повідомлення з податкової інспекції» тощо. Усередині фейкового листа є вкладення, після завантаження якого шифрувальник потрапляє на комп'ютер і починає поступово закривати доступ до файлів.

Шифрування не відбувається миттєво, тому користувачі мають час, щоб видалити вірус до того, як буде зашифрована вся інформація. Знищити шкідливий скрипт можна за допомогою чистячих утиліт Dr.Web CureIt, Kaspersky Internet Security та Malwarebytes Antimalware.

Способи відновлення файлів

Якщо на комп'ютері був увімкнений захист системи, то навіть після дії вірусу-шифрувальника є шанси повернути файли в нормальний стан, використовуючи тіньові копії файлів. Шифрувальники зазвичай намагаються їх видалити, але іноді їм не вдається це зробити через відсутність повноважень адміністратора.

Відновлення попередньої версії:

Щоб попередні версії зберігалися, потрібно увімкнути захист системи.

Важливо: захист системи має бути включений до появи шифрувальника, після цього вже не допоможе.

1. Відкрийте властивості "Комп'ютера".
2. У меню зліва виберіть «Захист системи».
   
3. Перейдіть до диска C і натисніть «Налаштувати».
4. Виберіть відновлення параметрів та попередніх версій файлів. Застосуйте зміни, натиснувши кнопку «Ок».

Якщо ви здійснили ці заходи до появи вірусу, що зашифровує файли, то після очищення комп'ютера від шкідливого коду у вас будуть хороші шанси на відновлення інформації.

Використання спеціальних утиліт

Лабораторія Касперського підготувала кілька утиліт, які допомагають відкрити зашифровані файли після видалення вірусу. Перший дешифратор, який варто спробувати застосувати – Kaspersky RectorDecryptor.

1. Завантажте програму із офіційного сайту Лабораторії Касперського.
2. Після запустіть утиліту та натисніть «Почати перевірку». Вкажіть шлях до будь-якого зашифрованого файлу.

Якщо шкідлива програма не змінила розширення файлів, то для розшифровки необхідно зібрати їх в окрему папку. Якщо утиліта RectorDecryptor, завантажте з офіційного сайту Касперського ще дві програми - XoristDecryptor та RakhniDecryptor.

Остання утиліта від Лабораторії Касперського називається Ransomware Decryptor. Вона допомагає розшифрувати файли після вірусу CoinVault, який поки що не дуже поширений у Рунеті, але незабаром може замінити інші трояни.

WannaCry вірус - це програма-вимагач, яка використовує EternalBlue експлойт для зараження комп'ютерів, які працюють під керуванням операційної системи Microsoft Windows. Вимагач також відомий як WannaCrypt0r, WannaCryptor, WCry, та Wana Decrypt0r. Як тільки він потрапляє на цільовий комп'ютер, він швидко шифрує всі файли і позначає їх одним із таких розширень: .wcry, .wncrytі .wncry.

Вірус робить дані марними за допомогою сильного шифрування, змінює шпалери для робочого столу, створює записку про викуп "Please Read Me!.txt", а потім запускає вікно програми під назвою "WannaDecrypt0r", яке повідомляє, що файли на комп'ютері були зашифровані. Шкідлива програма закликає жертву виплатити викуп у розмірі від $300 до $600 у біткоїнах і обіцяє видалити всі файли, якщо жертва не заплатить гроші протягом 7 днів.

Шкідлива програма видаляє тіньові копії, щоб запобігти відновленню зашифрованих даних. Крім того, здирник діє як черв'як, тому що як тільки він потрапляє на цільовий комп'ютер, він починає шукати інші комп'ютери, які можна заразити.

Незважаючи на те, що вірус обіцяє відновити ваші файли після оплати, немає підстав довіряти злочинцям. Команда сайт рекомендує видаляти здирники в безпечному режимі за допомогою драйверів мережі, використовуючи програми захисту від шкідливих програм, такі як .

Кіберзлочинці використали цього здирника у масовій кібер-атаці, яка була запущена у п'ятницю, 12 травня 2017 року. Згідно з останніми повідомленнями, зловмисна атака успішно торкнулася більше 230 000 комп'ютерів у понад 150 країнах.

Вплив кібератаки жахливий, оскільки вірус орієнтований на організації з різних секторів, охорона здоров'я, схоже, страждає найбільше. Через напад було припинено різні лікарняні послуги, наприклад, було скасовано сотні операцій. Згідно з повідомленнями, першими великими компаніями, які постраждали від цього викупу, були Telefonica, Gas Natural та Iberdrola.

Деякі з порушених компаній мали резервні копії даних, тоді як інші стикалися з трагічними наслідками. Без винятку, всім жертвам рекомендується якнайшвидше видалити WannaCry, оскільки це може допомогти запобігти подальшому поширенню здирника.

WannaCry поширюється, використовуючи EternalBlue експлойт

Основний вектор зараження WannaCry здирника - це експлойт EternalBlue, який є кібер-шпигуном, вкраденим з Агентства національної безпеки США (NSA) і опублікованим онлайн-хакерами, відомою як Shadow Brokers.

Атака EternalBlue орієнтована на Windows CVE-2017-0145 вразливість у Microsoft протоколі SMB (Server Message Block). Вразливість вже виправлена, повідомляється у бюлетені з безпеки Microsoft MS17-010 (випущений 14 травня 2017 р.). Експлойт-код, який використовується виконавцями, призначався для зараження застарілих систем Windows 7 і Windows Server 2008, але, за повідомленнями, користувачі Windows 10 не можуть бути порушені цим вірусом.

Шкідлива програма зазвичай надходить у вигляді трояна-дропера, що містить набір експлойтів і самого здирника. Потім дроппер намагається підключитися до одного з віддалених серверів, щоб завантажити здирника на комп'ютер. Останні версії WannaCry поширюються через girlfriendbeautiful[.]ga/hotgirljapan.jpg?i =1 у регіоні APAC. Вимагач може торкнутися будь-кого, хто не володіє знаннями про поширення здирників, тому ми рекомендуємо прочитати цей посібник із запобігання WannaCry здирника, підготовлений нашими фахівцями:

1. Встановіть системне оновлення безпеки MS17-010, нещодавно випущене Microsoft, воно усуне вразливість, яку використовує здирник. Оновлення випущено виключно для старих операційних систем, таких як Windows XP або Windows 2003.
2. Слідкуйте за оновленнями інших комп'ютерних програм.
3. Встановіть надійний антивірусний засіб для захисту вашого комп'ютера від незаконних спроб заразити вашу систему шкідливими програмами.
4. Ніколи не відкривайте електронні листи, які надходять від незнайомців чи компаній, з якими у вас немає бізнесу.
5. Вимкніть SMBv1, використовуючи вказівки Microsoft.

Дослідник демонструє скріншоти, зроблені під час атаки WannaCry. Ви можете бачити Wanna Decrypt0r вікно так само, як і зображення, встановлене WannaCry як фон робочого столу після зараження системи та шифрування всіх файлів на ній.
Метод 1. (Безпечний режим)
Виберіть "Safe Mode with Networking" Метод 1. (Безпечний режим)
Виберіть "Enable Safe Mode with Networking"

Виберіть "Safe Mode with Command Prompt" Метод 2. (Системне відновлення)
Виберіть "Enable Safe Mode with Command Prompt"
Метод 2. (Системне відновлення)
Введіть "cd restore" без лапок і натисніть "Enter"
Метод 2. (Системне відновлення)
Введіть "rstrui.exe" без лапок і натисніть "Enter"
Метод 2. (Системне відновлення)
У вікні "System Restore" виберіть "Next"
Метод 2. (Системне відновлення)
Виберіть точку відновлення та клацніть "Next"
Метод 2. (Системне відновлення)
Натисніть "Yes" і почніть відновлення системи ⇦ ⇨

Слайд 1 з 10

Версії WannaCry

Вірус використовує криптографічний шифр AES-128 для надійного блокування файлів, додає файл розширення.wcry до їхніх імен і просить передати 0,1 біткойн на даний віртуальний гаманець. Спочатку шкідливе програмне забезпечення поширювалося через спам листа електронної пошти; Однак саме цей вірус не приніс багато доходів для його розробників. Незважаючи на те, що файли, зашифровані цим здирником, виявилися невідновлюваними без ключа дешифрування, розробники вирішили оновити шкідливу програму.

Вірус-вимагач WannaCrypt0r. Це ще одна назва оновленої версії здирника. Нова версія вибирає вразливості Windows як основний вектор атаки та зашифровує всі файли, що зберігаються в системі за лічені секунди. Заражені файли можуть бути розпізнані через розширення, додані до імені файлу відразу після оригінального імені файлу - .wncry, wncryt або .wcry.

Неможливо відновити пошкоджені дані без резервних копій або закритого ключа, створеного під час шифрування даних. Зазвичай, вірус вимагає $300, хоча він підвищує ціну викупу $600, якщо жертва не заплатить гроші протягом трьох днів.

Вірус-вимагач WannaDecrypt0r. WannaDecrypt0r – це програма, яку вірус запускає після успішного проникнення в цільову систему. Дослідники вже помітили версії Wanna Decryptor 1.0 та Wanna Decryptor 2.0, що наближаються до жертв.

Шкідлива програма відображає годинник зі зворотним відліком, що показує, скільки часу залишилося, щоб заплатити викуп до тих пір, поки ціна його не досягне максимуму, а також ідентичний годинник зворотного відліку, що показує, скільки часу залишилося доти, доки вірус не видалить усі дані з комп'ютера. Ця версія вразила віртуальне співтовариство 12 травня 2017 року, хоча через кілька днів його зупинив дослідник безпеки, який носить ім'я MalwareTech.