WannaCry – спеціальна програма, яка блокує всі дані в системі та залишає користувачу лише два файли: інструкцію про те, що робити далі, і саму програму Wanna Decryptor – інструмент для розблокування даних.

Більшість компаній, що займаються комп'ютерною безпекою, мають інструменти дешифрування викупу, які можуть оминати програмне забезпечення. Для звичайних смертних спосіб «лікування» поки що невідомий.

WannaCry Decryptor (або WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0),вже називають "вірусом 2017 року". І зовсім не безпідставно. Тільки за перші 24 години з моменту початку свого поширення - цей шифрувальник вразив більше 45 000 комп'ютерів. Деякі ж дослідники вважають, що на даний момент (15 травня) заражено вже більше мільйона комп'ютерів та серверів. Нагадаємо, що вірус почав поширюватись 12 травня. Першими постраждали користувачі з Росії, України, Індії та Тайваню. На даний момент вірус з великою швидкістю поширюється в Європі, США та Китаї.

Була зашифрована інформація на комп'ютерах та серверах державних установ (зокрема МВС Росії), шпиталів, транснаціональних корпорацій, університетів та шкіл.

Wana Decryptor (Wanna Cry або Wana Decrypt0r) паралізував роботу сотень компаній та держустанов у всьому світі

По суті WinCry (WannaCry) - це експлоїт сімейства EternalBlue, який використовує стару вразливість операційної системи Windows (Windows XP, Windows Vista, Windows 7, Windows 8 і Windows 10) і в «тихому» режимі завантажує себе в систему. Після чого за допомогою стійких до розшифрування алгоритмів шифрує дані користувачів (документи, фото, відео, електронні таблиці, бази даних) та вимагає викуп за розшифрування даних. Схема не нова, ми постійно пишемо про нові різновиди шифрувальників файлів - але метод поширення новий. І це спричинило епідемію.

Як працює вірус

Шкідлива програма сканує в Інтернеті вузли у пошуках комп'ютерів із відкритим TCP-портом 445, який відповідає за обслуговування протоколу SMBv1. Виявивши такий комп'ютер, програма робить кілька спроб проексплуатувати на ньому вразливість EternalBlue і, у разі успіху, встановлює бекдор DoublePulsar, через який завантажується та запускається виконуваний код програми WannaCry. При кожній спробі експлуатації шкідлива програма перевіряє наявність на цільовому комп'ютері DoublePulsar і у разі виявлення завантажується безпосередньо через цей бекдор.

До речі, ці шляхи не відстежуються сучасними антивірусними програмами, що й зробило зараження настільки масовим. І це величезний камінь у город розробників антивірусного ПЗ. Як можна було таке припустити? Ви за що гроші берете?

Після запуску шкідлива програма діє як класична програма-вимагач: вона генерує унікальну для кожного інфікованого комп'ютера пару ключів асиметричного алгоритму RSA-2048. Потім, WannaCry починає сканувати систему в пошуках файлів користувача певних типів, залишаючи критичні для подальшого її функціонування недоторканими. Кожен відібраний файл шифрується за алгоритмом AES-128-CBC унікальним (випадковим) для кожного з них ключем, який, у свою чергу, шифрується відкритим RSA-ключом інфікованої системи та зберігається в заголовку зашифрованого файлу. При цьому до кожного зашифрованого файлу додається розширення .wncry. Пара RSA-ключів інфікованої системи шифрується відкритим ключем зловмисників і відправляється до них на сервери керування, розташовані в мережі Tor, після чого всі ключі з інфікованої машини видаляються. Завершивши процес шифрування, програма виводить на екран вікно з вимогою перевести певну суму в биткоинах (еквівалентну 300 доларів США) на вказаний гаманець протягом трьох днів. Якщо викуп не надійде вчасно, його сума буде автоматично подвоєна. На сьомий день, якщо WannaCry не буде видалено з інфікованої системи, файли зашифровані знищуються. Повідомлення виводиться мовою, яка відповідає встановленій на комп'ютері. Загалом програмою підтримується 28 мов. Паралельно з шифруванням програма проводить сканування довільних адрес Інтернету та локальної мережі для подальшого зараження нових комп'ютерів.

Згідно з дослідженням компанії Symantec, алгоритм відстеження зловмисниками індивідуальних виплат кожної жертви та відправлення їй ключа для розшифровки реалізований з помилкою стану гонки. Це робить виплати викупу безглуздими, оскільки індивідуальні ключі в жодному разі не будуть надіслані, а файли так і залишаться зашифрованими. Однак існує надійний метод розшифрувати файли користувача розміром менше 200 МБ, а також деякі шанси відновити файли більшого розміру. Крім того, на застарілих системах Windows XP і Windows Server 2003 через особливості реалізації в системі алгоритму обчислення псевдовипадкових чисел можна навіть відновити закриті RSA-ключі і розшифрувати всі постраждалі файли, якщо комп'ютер не перезавантажувався з моменту зараження. Пізніше група французьких експертів з кібербезпеки з компанії Comae Technologies розширила цю можливість до Windows 7 і реалізувала її на практиці, опублікувавши у відкритому доступі утиліту WanaKiwiдозволяє розшифрувати файли без викупу.

У коді ранніх версій програми було передбачено механізм самознищення, так званий Kill Switch, - програма перевіряла доступність двох певних Інтернет-доменів і в разі їх наявності повністю видалялася з комп'ютера. Це 12 травня 2017 року першим виявив Маркус Хатчінс (англ.)російська. , 22-річний вірусний аналітик британської компанії Kryptos Logic, який пише в Twitter'і під ніком @MalwareTechBlog, і зареєстрував один із доменів на своє ім'я. Таким чином йому вдалося тимчасово частково заблокувати поширення даної модифікації шкідливої ​​програми. 14 травня було зареєстровано і другий домен. У наступних версіях вірусу даний механізм самовідключення був видалений, проте це було зроблено не у вихідному програмному коді, а шляхом редагування файлу, що дозволяє припускати, походження даного виправлення не від авторів оригінальної WannaCry, а від сторонніх зловмисників. В результаті було пошкоджено механізм шифрування, і дана версія хробака може тільки поширювати себе, знаходячи вразливі комп'ютери, але не здатна завдавати їм безпосередньої шкоди.

Висока швидкість поширення WannaCry, унікальна для програми-здирника, забезпечується використанням опублікованої в лютому 2017 року вразливості мережевого протоколу SMB операційної системи Microsoft Windows, описаної в бюлетені MS17-010. Якщо в класичній схемі програма-вимагач потрапляла на комп'ютер завдяки діям самого користувача через електронну пошту або веб-посилання, WannaCry участь користувача повністю виключена. Тривалість часу між виявленням вразливого комп'ютера та повним зараженням становить близько 3 хвилин.

Компанією-розробником підтверджено наявність вразливості абсолютно у всіх користувацьких і серверних продуктах, що мають реалізацію протоколу SMBv1 - починаючи з Windows XP/Windows Server 2003 і закінчуючи Windows 10/Windows Server 2016. 14 березня 2017 року Microsoft випустила серію оновлень підтримуваних ОС. Після поширення WannaCry компанія пішла на безпрецедентний крок, випустивши 13 травня також оновлення для продуктів із терміном підтримки (Windows XP, Windows Server 2003 і Windows 8).

Розповсюдження вірусу WannaCry

Вірус може поширюватися різними способами:

• Через єдину комп'ютерну мережу;
• Поштою;
• Через браузер.

Особисто мені не зовсім зрозуміло, чому мережне з'єднання не сканується антивірусом. Такий же спосіб зараження, як через відвідування сайту або браузер — доводить безпорадність розробників і те, що кошти, що запитуються на ліцензійне ПЗ для захисту ПК нічим не виправдані.

Симптоми зараження та лікування вірусу

Після успішного встановлення на ПК користувача WannaCry намагається поширюватися по локальній мережі інші ПК, як черв'як. Зашифровані файли отримують системне розширення.WCRY і стають повністю нечитаними і розшифрувати їх самостійно неможливо. Після повного шифрування Wcry змінює шпалери робочого столу і залишає «інструкції» по розшифровці файлів у папках із зашифрованими даними.

Спочатку хакери вимагали $300 за ключі розшифровки, але згодом підняли цю цифру до $600.

Як застерегти зараження вашого ПК шифрувальником WannaCry Decryptor?

Завантажити оновлення операційної системи із сайту Microsoft.

Що робитиЧи Ваш ПК заражений?

Використовуйте інструкції нижче для того, щоб спробувати відновити хоча б частину інформації на зараженому ПК. Оновіть антивірус та встановіть патч операційної системи. Розшифрувальника на цей вірус поки що не існує у природі. Ми наполегливо не рекомендуємо платити зловмисникам викуп - жодних, навіть найменших, гарантій того, що вони розшифрують ваші дані, отримавши викуп, немає.

Видалити шифрувальник WannaCry за допомогою автоматичного чистильника

Винятково ефективний метод роботи зі шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців за її допомогою.

1. Завантажити програму для видалення вірусу WannaCry. Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування). Завантажити програму для видалення шифрувальника WannaCry .
2. Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було зазначено, програма-вимагач no_more_ransom блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички – якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете ознайомитися з ними.

Програма автоматичного відновлення файлів (дешифратор)

Відома дуже неординарна обставина. Ця інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це надає можливість таким програмним засобам як Data Recovery Proвідновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється у кожній точці відновлення. Важлива умова цього методу: функція «Відновлення системи» має бути активована досі зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.

Резервне копіювання

Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файли та запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання повністю видалено.

Перевірити можливу наявність залишкових компонентів здирника WannaCry

Очищення в ручному режимі загрожує упущенням окремих фрагментів здирницького ПЗ, які можуть уникнути видалення у вигляді прихованих об'єктів операційної системи або елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на шкідливому програмному забезпеченні.

Розшифровка

А ось інформації від тих, хто оплатив розшифровку немає, як немає інформації про намір хакерів заспокоїти душу народу і дешифрувати інформацію після оплати ((((

Але на хабрі знайшлася інформація про принцип роботи кнопки Decrypt, а також про те, що у зловмисників немає способу ідентифікації користувачів, які відправили битки, а отже, постраждалим ніхто нічого не відновлюватиме:

«Криптор створює два типи файлів: спочатку деяка частина шифрується з використанням 128-бітного AES, при цьому згенерований ключ для розшифрування дописується безпосередньо до криптованого файлу. Файлам, зашифрованим у такий спосіб, криптор дає розширення .wncyrі саме їх згодом розшифровує при натисканні на Decrypt. Основна ж маса закриптованого отримує розширення .wncryі там ключа немає.
При цьому шифрування йде не в самому файлі, а спочатку на диску створюється файл, куди кладеться криптований вміст, а потім вихідний файл видаляється. Відповідно, протягом якогось часу є шанс відновити частину даних за допомогою різних undelete-утиліт.
Для боротьби з подібними утилітами криптор постійно пише на диск всяке ліве сміття, так що місце на диску вижирає досить швидко.
А ось чому досі немає жодної інформації щодо оплати та механізмів її перевірки, це справді дивує. Можливо, впливає досить пристойна сума ($300), яка потрібна для подібної перевірки.»

Автори вірусу WannaCry обійшли тимчасовий захист у вигляді безглуздого домену

Творці вірусу-здирника WannaCry, від якого постраждали комп'ютери у більш ніж 70 країнах, випустили його нову версію. У ній відсутній код для звернення до безглуздого домену, за допомогою якого вдалося запобігти поширенню оригінального вірусу, пише Motherboard. Видання отримало підтвердження про появу нової версії вірусу від двох фахівців, які вивчали нові випадки зараження комп'ютерів. Один із них – Костін Райю (Costin Raiu), керівник міжнародної дослідницької команди «Лабораторії Касперського».

Фахівці не уточнили, чи з'явилися у WannaCry будь-які інші зміни.

WannaCry розповсюджується через протоколи обміну файлами, встановленими на комп'ютерах компаній та державних установ. Програма-шифрувальник пошкоджує комп'ютери на базі Windows.

Понад 98% випадків інфікування здирницьким ПЗ WannaCry припадають на комп'ютери під керуванням Windows 7, причому більше 60% заражень зачіпають 64-розрядну версію ОС. Такі дані оприлюднили аналітики "Лабораторії Касперського". Згідно зі статистикою, менше 1% заражених комп'ютерів працюють на базі версій Windows Server 2008 R2 та Windows 10 (0,03%).

Після проникнення в папку з документами та іншими файлами вірус шифрує їх, змінюючи розширення на WNCRY. Потім шкідлива програма вимагає купити спеціальний ключ, вартість якого становить від 300 до 600 доларів, погрожуючи інакше видалити файли.

Загалом WannaCry – це експлойт, за допомогою якого відбувається зараження та поширення, плюс шифрувальник, який скачується на комп'ютер після того, як зараження відбулося.

У цьому полягає важлива відмінність WannaCry від більшості інших шифрувальників. Для того, щоб заразити свій комп'ютер, звичайним, скажімо так, шифрувальником, користувач повинен зробити якусь помилку - натиснути на підозріле посилання, дозволити виконувати макрос в Word, завантажити сумнівне вкладення з листа. Заразитися WannaCry можна взагалі нічого не роблячи.

Автори WannaCry використовували експлойт для Windows, відомий під назвою EternalBlue. Він експлуатує вразливість, яку Microsoft закрила в оновленні безпеки MS17-010 від 14 березня цього року. За допомогою цього експлойта зловмисники могли отримувати віддалений доступ до комп'ютера та встановлювати на нього власне шифрувальник.

Якщо у вас встановлено оновлення та вразливість закрито, то віддалено зламати комп'ютер не вдасться. Однак дослідники «Лабораторії Касперського» з GReAT окремо звертають увагу на те, що закриття вразливості ніяк не заважає працювати власне шифрувальнику, тому, якщо ви будь-яким чином запустите його, патч вас не врятує.

Після успішного злому комп'ютера WannaCry намагається поширюватися по локальній мережі інші комп'ютери, як черв'як. Він сканує інші комп'ютери щодо наявності тієї самої вразливості, яку можна експлуатувати за допомогою EternalBlue, і якщо знаходить, то атакує і шифрує і їх теж.

Виходить, що, потрапивши на один комп'ютер, WannaCry може заразити всю локальну мережу та зашифрувати всі комп'ютери, які є в ній. Саме тому найсерйозніше від WannaCry дісталося великим компаніям – чим більше комп'ютерів у мережі, тим більше збитків.

Крім того, вірусом були порушені комп'ютери в Іспанії, Італії, Німеччині, Португалії, Туреччині, Україні, Казахстані, Індонезії, В'єтнамі, Японії та Філіппінах.

Аналіз показав, що практично всі повідомлення про викуп були переведені через Google Translate, і лише англійська та дві китайські версії (спрощена та класична), ймовірно, були написані носіями мови.

Незважаючи на те, що повідомлення англійською мовою було написано людиною, яка добре володіє мовою, груба граматична помилка вказує на те, що це не рідна мова автора. Flashpoint з'ясувала, що саме текст англійською став першоджерелом, яке згодом переклали на інші мови.

Повідомлення про вимогу викупу китайською мовою відрізняються від інших за змістом та тоном. Крім того, велика кількістьунікальних ієрогліфів свідчить про те, що їх писав людина, яка вільно володіє китайською.

Через три місяці після початку атак з використанням здирницького ПЗ WannaCry його творці вивели всі наявні в біткойн-гаманцях кошти - понад $142 тис. Транзакції були помічені роботом видання Quartz. Шифрувальник вимагав у своїх жертв викуп у розмірі $300-$600 у биткойнах. Усі отримані гроші розподілялися за трьома гаманцями. У ніч на 3 серпня 2017 року було зафіксовано сім переказів коштів, проведених протягом 15 хвилин. Найімовірніше, гроші пройдуть через ланцюжок інших біткойн-гаманців, щоб приховати кінцевого одержувача.

Хто винен

В.Путін: Спецслужби США

«Атака без розбору поширювалася по всьому світу у травні. Воно (шкідливе ПЗ WannaCry – ред.) шифрувало та робило марним сотні тисяч комп'ютерів у лікарнях, школах, компаніях та будинках. Це було підло, недбало і завдало великих матеріальних збитків. Атака була поширеною і коштувала мільярди. Відповідальність за неї лежить безпосередньо на Північній Кореї», - заявив Боссерт.

Як пояснив радник, його заява не є голослівною і ґрунтується на отриманих у ході розслідування доказах. До висновків про причетність КНДР до атак WannaCry також дійшли спецслужби та фахівці низки приватних компаній, зазначив Боссерт.

У міру того, як цифрові технології стають повсюдними, зловмисники починають використовувати їх у своїх цілях. Атаки в кіберпросторі дозволяють їм залишатися анонімними та помітити свої сліди. За допомогою кібератак злочинці викрадають інтелектуальну власність та завдають шкоди у кожному секторі, зазначив радник.

Поширення у світі

Присутність на сотнях тисяч комп'ютерів по всьому світу

26 грудня 2018 стало відомо, що через 18 місяців після масштабної епідемії здирницького ПЗ WannaCry, від якого постраждало безліч користувачів у більш ніж 100 країнах світу, шкідливість все ще присутні на сотнях тисяч комп'ютерів, свідчать дані компанії Kryptos Logic.

За інформацією Kryptos Logic, щотижня фіксується понад 17 млн ​​спроб підключення до домену-«вимикача», що виходять від більш ніж 630 тис. унікальних адрес у 194 країнах. За кількістю спроб підключення лідирують Китай, Індонезія, В'єтнам, Індія та Росія. Як і слід було очікувати, у робочі дні кількість спроб зростає порівняно з вихідними.

Присутність здирника на такій великій кількості комп'ютерів може призвести до серйозної проблеми – для його активації достатньо одного масштабного збою в Мережі, підкреслюють фахівці.

Раніше Kryptos Logic представила безкоштовний сервіс TellTale, що дозволяє організаціям проводити моніторинг щодо зараження WannaCry або іншими відомими загрозами.

Атака на TSMC

Найбільший у світі виробник чіпів TSMC втратив $85 млн через вірус WannaCry. Про це компанія повідомила у фінансовому звіті, спрямованому на Тайванську фондову біржу (Taiwan Stock Exchange, TSE). Детальніше .

Атака на Boeing

Як повідомив прес-секретар LG Electronics виданню Korea Herald, спроба здирника атакувати компанію провалилася. Негайне відключення мереж сервісних центрів дозволило уникнути шифрування даних та вимог викупу. За даними KISA, кіоски були інфіковані WannaCry, проте яким чином шкідливість потрапив на системи, невідомо. Можливо, хтось доцільно встановив програму на пристрої. Не виключено також, що зловмисники обманним шляхом змусили когось із співробітників завантажити шкідливість.

Атаки на автовиробників

Зараження дорожніх камер

У червні 2017 року творці сумнозвісного вірусу-здирника WannaCry мимоволі допомогли австралійським водіям уникнути штрафів за перевищення швидкості, повідомляє ВВС News.

Внаслідок інциденту поліція австралійського штату Вікторія скасувала 590 штрафів за перевищення швидкості та проїзди на червоний сигнал світлофора, хоча правоохоронці запевняють, що всі штрафи були призначені правильно.

Виконувач обов'язків заступника комісара Росс Гюнтер (Ross Guenther) пояснив, що громадськість має бути повністю впевнена у правильності роботи системи, тому в поліції й ухвалили таке рішення.

Хоча основна хвиля атак WannaCry припала на середину травня 2017 року, шифрувальник продовжує завдавати бід ще близько двох місяців. Раніше в американській ІБ-компанії KnowBe4 підрахували, що збитки від WannaCry лише за перші чотири дні поширення склали понад $1 млрд, включаючи втрати внаслідок втрати даних, зниження продуктивності, збоїв у роботі бізнесу, а також репутаційну шкоду та інші фактори.

Перша атака на медобладнання

WannaCry став першим вірусом-шифрувальником, який атакував не лише персональні комп'ютери лікувальних закладів, а й безпосередньо медичну апаратуру.

Касперський закликає запровадити державну сертифікацію софту для медичних установ

У ході нещодавньої виставки CeBIT Australia голова виробника антивірусного програмного забезпечення KasperskyLab Євген Касперський поділився деякими роздумами, що стосуються вірусу-здирника WannaCry. Від дій останнього постраждали сотні тисяч користувачів із 150 країн, пише видання ZDNet.

Враховуючи, що насамперед WannaCry вразив мережу медичних закладів, їх захист є справою першорядної ваги, вважає глава антивірусної компанії та вимагає втручання держави. «Мене не залишає думка, що урядам варто приділяти більше уваги регулюванню кіберпростору, принаймні це стосується критично важливої ​​інфраструктури охорони здоров'я», - сказав Євген.

На його думку, сертифікація медичних установ має включати певні вимоги, які гарантують захист цінних даних. Одним із них є отримання спеціальних дозволів, які засвідчують, що та чи інша клініка зобов'язується виконувати резервне копіювання даних за графіком, а також своєчасно проводити оновлення ОС. Крім цього, держава повинна скласти перелік обов'язкових до використання в секторі охорони здоров'я систем і додатків (разом зі специфікаціями, які потрібні їм для безпечного інтернет-підключення).

Євген Касперський вважає, що техніка, що постачається виробниками медичного обладнання, також повинна підкорятися вимогам державних органів. «Виробники медтехніки випускають сертифіковану продукцію, яку за умовами контракту не можна модифікувати. У багатьох випадках ці вимоги не дозволяють замінити або оновити програмне забезпечення у такому устаткуванні. Не дивно, що Windows XP може залишатися непропатченою багато років, якщо не назавжди», - каже експерт.

Карта поширення та збитки від здирника WannaCry

Американські експерти оцінили збитки від масштабної атаки хакерів, яка на початку травня 2017 року обрушилася на комп'ютерні системи держорганів, великих корпорацій та інших установ у 150 країнах світу. Ця шкода, впевнені оцінювачі KnowBe4, склала $1 млрд. За цими даними, всього WannaCry вразив від 200 тис. до 300 тис. комп'ютерів.

«Можливі збитки, завдані WannaCry за перші чотири дні, перевищили $1 млрд, враховуючи викликані цим масштабні простої великих організацій по всьому світу», - заявив глава KnowBe4 Стью Сьюверман. До загальної оцінки збитків увійшли втрата даних, зниження продуктивності, простої в роботі, судові витрати, репутаційні збитки та інші фактори.

Дані на 18.05.2017

Поширення у Росії

Росія увійшла до трійки країн щодо поширення вірусу

Наприкінці травня 2017 року компанія Kryptos Logic, що розробляє рішення для забезпечення кібербезпеки, опублікувала дослідження, яке показало, що Росія увійшла до трійки країн з найбільшою кількістю атак хакерів з використанням вірусу-здирника WannaCry.

Висновки Kryptos Logic засновані на кількості запитів до аварійного домену (kill switch), який запобігає зараженню. У період з 12 по 26 травня 2017 року експерти зафіксували близько 14-16 млн запитів.

Діаграма, що відображає країни з найбільшим поширенням вірусу WannaCry у перші два тижні, дані Kryptos Logic

У перші дні масового поширення WannaCry антивірусні компанії повідомляли, що більшість (від 50% до 75%) кібернападів за допомогою цього вірусу припала на Росію. Однак, за даними Kryptos Logic, лідером цього став Китай, з боку якого зафіксовано 6,2 млн запитів до аварійного домену. Показник у США становив 1,1 млн, у Росії - 1 млн.

До десятки держав з найбільшою активністю WannaCry також увійшли Індія (0,54 млн), Тайвань (0,375 млн), Мексика (0,3 млн), Україна (0,238 млн), Філіппіни (0,231 млн), Гонконг (0,192 млн) та Бразилії. (0,191 млн).

Глава Мінзв'язку: WannaCry не вражав російське ПЗ

Вірус WannaCry не вражав російське програмне забезпечення, а знаходив слабкі місця у закордонному ПЗ, заявив міністр зв'язку та масових комунікацій РФ Микола Никифоров у програмі "Думка" "Вести.Экономика" у травні 2017 року.

Він визнав, що у деяких держпідприємствах були проблеми через цей вірус. Тому інформаційні технології, що працюють у Росії, мають бути "наші технології, російські", підкреслив Никифоров.

"Більше того, у нас є науково-технічний потенціал. Ми одна з небагатьох країн, яка за деяких зусиль, організаційних, фінансових, технічних, здатна створити весь стек технологій, які дозволяють почуватися впевнено", - заявив міністр.

"Вірус не вражав вітчизняне ПЗ, вірус вражав закордонне ПЗ, яке ми масово використовуємо", - наголосив він.

Радбез РФ: WannaCry не завдав серйозної шкоди Росії

У Раді безпеки РФ оцінили збитки, які вірус WannaCry завдав об'єктам інфраструктури Росії. Як заявив заступник секретаря Ради безпеки РФ Олег Храмов, вірус WannaCry не завдав серйозних збитків об'єктам критичної інформаційної інфраструктури Росії.

До цих об'єктів належать інформаційні системи в оборонній промисловості, галузі охорони здоров'я, транспорту, зв'язку, кредитно-фінансовій сфері, енергетиці та інших.

Храмов нагадав, що для надійного захисту власної критичної інформаційної інфраструктури відповідно до указу президента Російської Федерації послідовно створюється державна система виявлення, запобігання та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації.

«Завдяки згаданій державній системі вдалося уникнути серйозних збитків. Критична інформаційна інфраструктура виявилася готовою протистояти масштабному поширенню цього вірусу», - заявив Олег Храмов.

При цьому заступник секретаря РБ РФ наголосив, що подібні загрози інформаційній безпеці стають все більш витонченими та масштабними.

Атака на МВС

12 травня 2017 року стало відомо про атаку вірусу WannaCry на комп'ютери Міністерства внутрішніх справ (МВС) Росії. Зараженими виявилося 1% систем відомства.

Як повідомило РИА Новости з посиланням на офіційного представника МВС РФ Ірину Волк, Департамент інформаційних технологій, зв'язку та захисту інформації (ДІТСіЗІ) МВС Росії зафіксував вірусну атаку на персональні комп'ютери відомства, на яких встановлена ​​операційна система Windows.

Міністерство внутрішніх справ Росії повідомило, що 12 травня його сервери зазнали хакерської атаки.

Вона також зазначила, що WannaCry не зміг заразити серверні ресурси МВС, оскільки вони використовують інші операційні системи та сервери на російських процесорах «Ельбрус».

Низка персональних комп'ютерів співробітників відомства зазнала зараження WannaCry внаслідок порушення співробітниками правил користування інформаційними системами. Причиною інфікування стали спроби працівників МВС підключити службові комп'ютери до інтернету «за допомогою того чи іншого механізму». Зараженими виявилися виключно персональні комп'ютери співробітників, внутрішня мережа міністерства внутрішніх справ захищена від зовнішнього впливу.

Атака на "велику трійку"

В опублікованому документі дослідники показали, як їм вдалося обійти інструменти захисту Windows 10 – зокрема, вигадати новий спосіб обійти DEP (Data Execution Prevention, функція запобігання виконання даних) та ASLR (address space layout randomization – «рандомізація розміщення адресного простору»).

Віруси Adylkuzz та Uiwix

Дослідники відзначають, що Adylkuzz почав атаки раніше за WannaCry - як мінімум 2 травня, а можливо і 24 квітня. Вірус не привернув до себе так багато уваги, тому що помітити його набагато складніше. Єдині «симптоми», куди може звернути увагу постраждалий, це уповільнення роботи ПК, оскільки вірус відтягує він ресурси системи.

Adylkuzz захистив постраждалих від нього користувачів від атак WannaCry, оскільки закрив собою пролом у Windows і не дозволив іншому вірусу їй скористатися.

Крім того, після WannaCry з'явився ще один шифрувальник - Uiwix, який також використовує гучну вразливість у Windows. Про це заявили спеціалісти компанії Heimdal Security.

Uiwix, на відміну від численних наслідувачів WannaCry, справді шифрує файли жертв і становить реальну загрозу. До того ж, Uiwix не має механізму «аварійного відключення», тому неможливо зупинити його поширення, зареєструвавши певний домен.

Даний вірус шифрує дані жертв і вимагає викуп у розмірі 0.11943 біткоїну (близько 215 доларів за поточним курсом).

Спроби наживатися на WannaCry від інших вірусів

У червні 2017 року дослідники з компанії RiskIQ виявили сотні мобільних додатків, що видають себе за засоби захисту від шифрувальника WannaCry, насправді опиняючись у найкращому разі марними, у гіршому – шкідливими. Подібні програми є частиною більш масштабної проблеми – фальшивих мобільних антивірусів. Детальніше .

Помилки у коді WannaCry

Код WannaCry був сповнений помилок і мав дуже низька якість. Така низька, що деякі жертви можуть відновити доступ до своїх оригінальних файлів навіть після того, як ті були зашифровані.

Аналіз WannaCry, проведений дослідниками зі спеціалізується на безпеці Лабораторії Касперського, виявив, що більшість помилок означає, що файли можуть бути відновлені за допомогою загальнодоступних програмних інструментів або навіть простих команд.

В одному випадку помилка WannaCry у механізмі обробки файлів лише для читання означає, що він взагалі не може шифрувати такі файли. Натомість вимагач створює зашифровані копії файлів жертви. При цьому оригінальні файли залишаються недоторканними, але позначаються як приховані. Це означає, що файли легко повернути просто знявши атрибут «прихований».

Це не єдиний приклад поганого кодування WannaCry. Якщо здирник проникає в систему, файли, які його розробники не вважають важливими, переміщуються до папки часу. У цих файлах містяться оригінальні дані, які перезаписуються, лише видаляються з диска. Це означає, що їх можна повернути, використовуючи програмне забезпечення для відновлення даних. На жаль, якщо файли знаходяться у «важливій» папці, такій як Документи або Робочий стіл, WannaCry запише поверх оригінальних файлів випадкові дані, і в цьому випадку їхнє відновлення буде неможливим.

Тим не менш, безліч помилок у коді дає надію потерпілим, оскільки аматорський характер здирника надає широкі можливості для відновлення принаймні файлів.

«Якщо ви були заражені здирником WannaCry, велика ймовірність, що ви зможете відновити багато файлів на своєму постраждалому комп'ютері. Ми рекомендуємо приватним особам та організаціям використовувати утиліти відновлення файлів на постраждалих машинах у своїй мережі», - сказав Антон Іванов, дослідник безпеки з «Лабораторії Касперського».

Вже не вперше WannaCry характеризується як якась аматорська форма здирника. А той факт, що за три тижні після атаки лише мізерна частка заражених жертв виплатила загалом 120 тис. дол. у биткоинах у вигляді викупу, дозволяє стверджувати, що здирник, хоч і викликав масовий переполох, не зумів отримати великих грошей, що є кінцевою метою програм-вимагачів.

Інструмент для видалення WannaCry

Як убезпечити свій комп'ютер від зараження?

• Встановіть всі оновлення Microsoft Windows.
• Переконайтеся, що всі вузли мережі захищені комплексним антивірусним програмним забезпеченням. Рекомендуємо технології на базі евристики, які дозволяють детектувати нові загрози та забезпечити захист від так званих атак нульового дня. Це підвищує безпеку, якщо в систему проникає раніше невідома шкідлива програма.
• Відмовтеся від використання ОС Microsoft Windows, які не підтримуються виробником. До заміни застарілих операційних систем використовуйте оновлення, випущені Microsoft для Windows XP, Windows 8 та Windows Server 2003.
• Використовуйте послуги для доступу до інформації про нові загрози.
• При підозрі на зараження відключіть інфіковані робочі станції від корпоративної мережі та зверніться до служби технічної підтримки постачальника антивірусних рішень за подальшими рекомендаціями.

Вірус WannaCry «прогримів» на весь світ 12 травня, цього дня про зараження своїх мереж заявили низка медичних закладів у Великій Британії, Іспанська телекомунікаційна компанія та МВС Росії повідомили про відбиття хакерської атаки.

WannaCry (у народі його вже встигли прозвати Вона край) відноситься до розряду вірусів шифрувальників (крипторів), який при попаданні на ПК шифрує користувацькі файли криптостійким алгоритмом, згодом – читання цих файлів стає неможливим.

На даний момент відомі такі популярні розширення файлів, що піддаються шифруванню WannaCry:

1. Популярні файли Microsoft Office (.xlsx, .xls, .docx, .doc).
2. Файли архівів та медіа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - як поширюється вірус

Раніше ми згадували про цей спосіб поширення вірусів у статті про , так що – нічого нового.

На поштову скриньку користувача приходить лист із «нешкідливим» вкладенням – це може бути картинка, відео, пісня, але замість стандартного розширення для цих форматів вкладення матиме розширення файлу, що виконується – exe. При відкритті та запуску такого файлу відбувається «інфікування» системи і через вразливість в OS Windows завантажується безпосередньо вірус, що шифрує дані користувача.

Можливо, це не єдиний метод поширення WannaCry – стати жертвою ви можете при завантаженні «інфікованих» файлів у соціальних мережах, торрент-трекерах та інших сайтах.

WannaCry - як захиститися від вірусу шифрувальника

1. Встановіть патч для Microsoft Windows. 14 Травня Microsoft випустила екстрений патч для наступних версій – Vista, 7, 8.1, 10, Windows Server. Встановити цей патч можна просто запустивши оновлення системи через службу оновлень Windows.

2. Використання антивірусного програмного забезпечення з актуальними базами даних. Відомі розробники захисного ПЗ, такі, як Касперський, Dr.Web, вже випустили оновлення для своїх продуктів, що містять інформацію про WannaCry, тим самим убезпечивши своїх користувачів.

3. Збережіть важливі дані на окремий носій. Якщо ваш комп'ютер ще не подає, ви можете зберегти найважливіші файли на окремий носій (flash-накопичувач, диск). За такого підходу, навіть ставши жертвою – ви збережете найцінніші файли від шифрування.

На даний момент це все відомі ефективні способи захисту від WannaCry.

WannaCry дешифратор, де завантажити і чи можна видалити вірус?

Віруси шифрувальники відносяться до розряду самих «противних» вірусів, т.к. в більшості випадків файли користувача шифруються 128bit'ним або 256bit'ним ключем. Найстрашніше, у кожному випадку — ключ унікальний і на розшифровку кожного потрібні величезні обчислювальні потужності, що унеможливлює лікування «пересічних» користувачів.

Але, як бути, якщо ви стали жертвою WannaCry і потрібен дешифратор?

1. Зверніться на форум підтримки Лабораторії Касперського – https://forum.kaspersky.com/ з описом проблеми. На форумі працюють як представники компанії, так і волонтери, які активно допомагають у вирішенні проблем.

2. Як і у випадку з відомим шифрувальником CryptXXX – було знайдено універсальне рішення для дешифрування файлів, що зазнали кодування. З моменту виявлення WannaCry минуло не більше тижня, і фахівці з антивірусних лабораторій ще не встигли знайти таке рішення для нього.

3. Кардинальним рішенням буде повне видалення OS з комп'ютера з наступною чистою установкою нової. При такому розкладі – всі файли користувача та дані повністю губляться, разом з видаленням WannaCry.

Як повідомляється російськими ЗМІ, роботу відділень МВС у кількох регіонах Росії порушено через шифрувальника, який вразив безліч комп'ютерів і загрожує знищити всі дані. Крім того, атаку зазнали оператор зв'язку «Мегафон».

Йдеться про трояна-вимагача WCry (WannaCry або WannaCryptor). Він шифрує інформацію на комп'ютері і вимагає заплатити викуп у розмірі 300 або 600 доларів біткоін за розшифровку.

@[email protected], зашифровані файли, розширення WNCRY Потрібна утиліта та інструкція з дешифрування.

WannaCry зашифровує файли та документи з наступними розширеннями, додаючи.WCRY в кінці назви файлу:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Атака WannaCry по всьому світу

Атаки зафіксовано у понад 100 країнах. Росія, Україна та Індія мають найбільші проблеми. Повідомлення про зараження вірусом надходять із Великобританії, США, Китаю, Іспанії, Італії. Зазначається, що атака хакерів торкнулася лікарень та телекомунікаційних компаній по всьому світу. В Інтернеті доступна інтерактивна карта поширення загрози WannaCrypt.

Як відбувається зараження

Як розповідають користувачі, вірус потрапляє на їхні комп'ютери без будь-яких дій з їхнього боку та безконтрольно поширюється у мережах. На форумі "Лабораторії Касперського" зазначають, що навіть включений антивірус не гарантує безпеки.

Повідомляється, що атака шифрувальника WannaCry (Wana Decryptor) відбувається через уразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткіт, використовуючи який зловмисники запускали програму-шифрувальник. Всі рішення «Лабораторії Касперського» детектують цей руткіт як MEM: Trojan.Win64.EquationDrug.gen.

Імовірно, зараження відбулося кількома днями раніше, проте вірус проявив себе тільки після того, як зашифрував усі файли на комп'ютері.

Як видалити WanaDecryptor

Ви можете видалити загрозу за допомогою антивірусу, більшість антивірусних програм вже виявляють загрозу. Поширені визначення:

Avast Win32:WanaCry-A , AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Якщо ви вже запустили загрозу на комп'ютері і ваші файли були зашифровані, розшифровка файлів практично неможлива, тому що під час експлуатації вразливості запускається мережевий шифратор. Проте, вже є кілька варіантів інструментів дешифрування:

Примітка: Якщо ваші файли були зашифровані, а резервна копія відсутня, і існуючі інструменти дешифрування не допомогли, рекомендується зберегти зашифровані файли перед тим, як виконати очищення загрози на комп'ютері. Вони знадобляться, якщо в майбутньому буде створено інструмент дешифрування, що працює у вас.

Microsoft: інсталюйте оновлення Windows

Microsoft заявила, що користувачі з безкоштовним антивірусом компанії та включеною функцією оновлення системи Windows будуть захищені від атак WannaCryptor.

Оновлення від 14 березня закривають уразливість систем, якою поширюється троян-вимагач. Сьогодні було додано виявлення антивірусних баз Microsoft Security Essentials / Захисника Windows для захисту від нової шкідливої ​​програми відомої як Ransom:Win32.WannaCrypt.

• Переконайтеся, що антивірус увімкнено та інстальовано останні оновлення.
• Встановіть безкоштовний антивірус, якщо на комп'ютері немає жодного захисту.
• Встановіть останні оновлення системи у Windows Update:
  • Для Windows 7, 8.1у меню Пуск відкрийте Панель керування > Windows Update і натисніть "Пошук оновлень".
  • Для Windows 10перейдіть до меню Параметри > Оновлення та безпека та натисніть "Перевірити наявність оновлень".
• Якщо ви інсталюєте оновлення вручну, встановіть офіційний патч MS17-010 від Microsoft, який закриває вразливість сервера SMB, що використовується в атаці шифрувальника WanaDecryptor.
• Якщо у вашому антивірусі є захист від шифрувальників, увімкніть його. На нашому сайті також є окремий розділ Захист від шифрувальників, де ви можете завантажити безкоштовні інструменти.
• Виконайте антивірусне сканування системи.

Експерти зазначають, що найпростіший спосіб убезпечити себе від атаки – це закрити порт 445.

• Введіть sc stop lanmanserver та натисніть Enter
• Введіть Windows 10: sc config lanmanserver start=disabled для інших версій Windows: sc config lanmanserver start= disabled і натисніть Enter
• Перезавантажте комп'ютер
• У командному рядку введіть netstat -n-a | findstr "LISTENING" | findstr ":445" , щоб переконатися, що порт вимкнено. Якщо порожні рядки, порт не прослуховується.

При необхідності відкрити порт назад:

• Запустіть командний рядок (cmd.exe) від імені адміністратора
• Введіть Windows 10: sc config lanmanserver start=auto , для інших версій Windows: sc config lanmanserver start=auto та натисніть Enter
• Перезавантажте комп'ютер

Примітка: Порт 445 використовується Windows для спільної роботи з файлами. Закриття цього порту не заважає з'єднанню ПК з іншими віддаленими ресурсами, однак інші ПК не можуть підключитися до даної системи.

Якщо ваш комп'ютер або відразу кілька пристроїв у домашній або робочій мережі вразив вірус Wannacry, читайте нашу статтю.

Тут ви дізнаєтесь, як захиститися і не допустити зараження, а також як правильно розшивати зашифровані дані.

Важливість цих знань підтверджується інформацією про більш ніж 150 тисяч заражених у 2017 році комп'ютерів, в операційну систему яких потрапив шкідливий код WC.

І хоча глобальне поширення загрози було зупинено, не виключено, що наступна версія програми-шифрувальника стане ще більш ефективною, і до її появи варто готуватися заздалегідь.

Зміст:

Наслідки

Перші ознаки зараження комп'ютерів вірусом-вимагачем були виявлені 12 травня 2017 рокуколи невідома програма втрутилася в роботу тисяч користувачів і сотень різних організацій по всьому світу.

Шкідливий код почав своє поширення о 8-00 і вже протягом першого дня заразив більше 50 тисяч ПК.

Найбільше заражень довелося – хоча перші дані надійшли з Великобританії, а серед постраждалих організацій були іспанські та португальські телекомунікаційні компанії і навіть автоконцерн «Рено».

У Росії він атакував операторів мобільного зв'язку "Мегафон", «Білайн»і «Йота», міністерство надзвичайних ситуацій, Міністерство внутрішніх справ та Управління залізниць.

Через це в деяких регіонах країни були скасовані іспити на отримання прав водія, а ряд організацій тимчасово призупинили свою роботу.

Реєстрація доменного імені, прописаного в коді вірусу, дозволила припинити його поширення. Після цього програма вже не могла звертатися до певного домену та не працювала. Щоправда, лише до випуску нової версії, де вже не було наказано звернення за певною адресою.

Вимоги розробників шкідливого коду

Результатом зараження комп'ютерів стало блокування більшості файлів, що знаходяться на їх жорстких дисках.

Через неможливість скористатися інформацією користувачі навіть перекладали назву програми WannaCry як "Хочеться плакати", а не "Хочеться шифрувати"(Wanna Cryptor), як це було насправді.

Але, враховуючи, що нерозшифровані файли з великою ймовірністю не могли бути відновлені, варіант користувача здавався більш підходящим.

На робочому столі зараженого комп'ютера з'являлися вікна із вимогами заплатити шахраям для розблокування інформації.

Спочатку зловмисники вимагали лише $300, через деякий час сума зросла вже до 500 доларів – і після оплати не було жодних гарантій, що атака не повториться – адже комп'ютер, як і раніше, залишався зараженим.

Але якщо відмовитися від оплати, зашифровані дані пропадали через 12 годин після появи попередження.

Способи розповсюдження загрози

Розробники шкідливої ​​програми використовували для зараження комп'ютерів з Windows вразливість операційної системи, яка була закрита за допомогою оновлення MS17-010.

Жертвами здебільшого стали ті користувачі, які не встановили це виправлення у березні 2017-го року.

Після встановлення (ручного або автоматичного) оновлення віддалений доступ до комп'ютера було закрито.

У той же час, березневе виправлення не повністю захищало операційну систему. Особливо, якщо користувач сам відкриє – у такий спосіб вірус теж поширювався.

А вже після зараження одного комп'ютера вірус продовжував поширюватися в пошуках уразливостей – тому найуразливішими виявилися не окремі користувачі, а великі компанії.

Профілактика зараження

Незважаючи на серйозну небезпеку потрапляння вірусу (і його нових версій) практично на будь-який комп'ютер, існує кілька способів уникнути зараження системи.

Для цього слід вжити таких заходів:

• переконатися в установці останніх виправлень безпеки, і якщо їх немає, додати вручну. Після цього слід обов'язково включити автоматичне оновлення – швидше за все, ця опція була вимкнена;

• не відкривати листи із вкладеннями від незнайомих користувачів;
• не переходити за підозрілими посиланнями – особливо, якщо про їхню небезпеку попереджає антивірус;
• встановити якісну антивірусну програму - наприклад, або, відсоток виявлення Ванна Край у яких максимальний. Більшість менш відомих і, особливо, безкоштовних програм захищають платформу гірше;

• після зараження відразу ж відключити комп'ютер від Інтернету і, особливо, від локальної мережі, захистивши від розповсюдження програми-вимагача інші пристрої.

Крім того, користувачеві слід періодично зберігати важливі дані, створюючи резервні копії.

При можливості, варто копіювати інформацію на USB-флешки, карти пам'яті та не (зовнішні або внутрішні знімні).

При можливості відновлення інформації шкода від вірусу буде мінімальною – при зараженні комп'ютера досить просто відформатувати пристрій зберігання інформації.

Лікування зараженого ПК

Якщо комп'ютер вже заражений, користувач повинен спробувати вилікувати його, позбавившись наслідків дії WannaCry.

Адже після того, як вірусна програма потрапила в систему, відбувається зі зміною їх розширень.

Намагаючись запустити програми або відкрити документи, користувач зазнає невдачі, що змушують його задуматися про вирішення проблеми, заплативши необхідні $500.

Основні етапи вирішення проблеми:

1 Запуск служб, вбудованих до операційної системи Віндоус.Шанс на позитивний результат у цьому випадку невеликий, тому, швидше за все, доведеться скористатися іншими варіантами;

2 Переустановка системи.При цьому слід відформатувати все – не виключено, що при цьому буде втрачено всю інформацію;

3 Перехід до розшифрування даних– цей варіант використовується, якщо на диску є важливі дані.

4 Процес відновлення файлівпочинається зі скачування відповідних оновлень та відключення від Інтернету. Після цього користувач повинен запустити командний рядок (через «Пуск»та розділ «Стандартні»або через меню «Виконати»і ) та заблокувати порт 445, закривши шлях проникнення вірусу. Це можна зробити, ввівши команду netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=Block_TCP-445.

5 Тепер слід запустити.Для цього під час завантаження утримується клавіша F8для переходу до меню запуску комп'ютера та вибирається відповідний пункт. У цьому режимі відкривається папка зі шкідливим кодом, яка знаходиться за допомогою ярлика вірусу, що з'явився на робочому столі. Після видалення всіх файлів у каталозі необхідно перезапустити систему та знову увімкнути Інтернет.

Розшифровка файлів

Після того, як робота WannaCry зупинена від користувача, потрібно відновити всі зашифровані файли.

Варто зазначити, що тепер для цього є набагато більше часу, ніж 12 годин – тому якщо своїми силами повернути дані не вийде, можна буде звернутися до фахівців і через кілька днів або місяців.

Оптимальний варіант– відновлення даних із резервних копій. Якщо користувач не передбачив можливість зараження і не скопіював важливі дані, слід завантажити програму-дешифрувальник:

• Shadow Explorer, дія якої заснована на відновленні «тіньових» копій файлів (насамперед документів);

Мал. 6. Запуск програми

Рис.9. Робота програми Віндоус Дата Рекавері.

Мал. 10. Відновлення файлів через програму в 1 клік

• утиліти, що випускаються Лабораторією Касперського спеціально для відновлення зашифрованих відомостей.

Мал. 11. Запуск утиліти

Рис.12. Процес відновлення даних

Слід знати:Запуск програми повинен здійснюватися лише після видалення вірусу. Якщо зупинити роботу Ванна Край не вдалося, дешифратор використовувати не варто.