Расшифровка WannaCry

Lavoratore

Местный
ЗАБАНЕН
Регистрация
17/7/17
Сообщения
806
Репутация
4.945
Реакции
3.606
RUB
0
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Вирус - вымогатель WannaCry атаковал 12 мая, в пятницу более 75000 компьютеров по всему миру. В основном пострадали крупные компании, организации, транспортные компании, медицинские и учебные учреждения, даже МВД РФ WannaCry не обошёл стороной. На данный момент пострадало уже более 300000 компьютеров более чем в 100 странах. WanaCrypt0r 2.0, или как его ещё называют "WannaCry", распространяется путём почтовых вложений. Оказавшись в системе вирус сканирует диски и сетевые папки на наличие файлов с определёнными расширениями (более 160) и шифрует их добавляя расширение .WNCRY. Затем подключаются функции червя - само распространение, WannaCry сканирует доступные ip адреса на 445 порт и распространяется по локальной сети. Удаляется данный шифратор как и прочие шифраторы - винлоки, входом в систему через "безопасный режим", очисткой автозагрузки и реестра, физическим удалением файлов вируса, удалением лишних записей из файла C:\Windows\System32\drivers\etc\hosts. НО, в случае если вы увидели на своём мониторе характерное окошко WannaCry, требующее вас отправить 300$ на биткоин кошелёк, ни в коем случае не торопитесь выключать или перезагружать компьютер, есть шанс расшифровать файлы!


Wanakiwi - утилита в большинстве случаев поможет расшифровать зашифрованные вирусом WannaCry файлы, но только в том случае если после заражения компьютер не отключался и процесс, генерировавший ключ всё ещё запущен. Учитывая тот факт, что этот метод основан на сканировании адресного пространства процесса, который сгенерировал эти ключи, это означает, что если этот процесс был убит, например, путем перезагрузки - исходная память процесса будет потеряна. Очень важно, чтобы пользователи НЕ перезагрузили свою систему перед тем, как прибегнуть к помощи Wanakiwi.

При запуске Wanakiwi автоматически ищет процессы, такие как:


- wnry.exe
- wcry.exe
- data_1.exe
- ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- tasksche.exe
Но если в вашем случае название процесса отличается от стандартных то Wanakiwi можно запустить через консоль cmd с параметрами pid или process, чётко указав программе с каким процессом работать:


wanakiwi.exe [/pid:PID|/process:program.exe]

В процессе работы wanakiwi будет расшифровывать файлы создавая их как новые, не затрагивая шифрованные файлы с расширением .WNCRY.

После того как файлы будут расшифрованы рекомендуется важные файлы скопировать на внешний носитель или облачное хранилище, затем выполнить перезагрузку системы в "безопасном режиме" и удалить файлы вируса и следы его присутствия. После чего выполнить обновление операционной системы. Microsoft выпустила обновления для всех уязвимых систем, в том числе и для уже не поддерживаемой windows XP.
 
Сверху Снизу