Jak dešifrovat soubory po WannaCry. Wanna decryptor (WannaCry) – jak se chránit před digitální pandemií Obnovení zašifrovaných souborů want decryptor 2

Dobré odpoledne

Odstranění viru WannaCrypt (Wana Decrypt0r 2.0) z vašeho počítače není obtížné. Níže uvedené jednoduché pokyny jsou vhodné pro jakoukoli moderní verzi systému Windows. Ale zatím není možné dešifrovat soubory .WNCRY zdarma. Na takovém dešifrovači pracují všichni významní výrobci antivirového softwaru, ale v tomto směru zatím k žádnému výraznému pokroku nedošlo.

Pokud z počítače odstraníte virus, je vysoká pravděpodobnost, že se vám nikdy nepodaří dešifrovat zašifrované soubory. WannaCrypt (Wana Decrypt0r 2.0) používá velmi efektivní metody šifrování a není velká šance, že by byl vyvinut bezplatný decryptor.

Musíte se rozhodnout, zda jste ochotni ztratit své zašifrované soubory nebo ne. Pokud jste připraveni, použijte níže uvedené pokyny, pokud nejste připraveni, zaplaťte výkupné tvůrcům viru. V budoucnu určitě začněte používat jakýkoli zálohovací systém pro vaše soubory a dokumenty, těch je nyní spousta, placených i bezplatných.

1. Zavřete síťový port 445 T:

• Spusťte příkazový řádek cmd jako správce (pokyny: ).
• Zkopírujte následující text: Netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
• Vložte jej do příkazového řádku a stiskněte klávesu Enter, systém by měl odpovědět „OK“.

3. Nakonfigurujte zobrazení skrytých a systémových složek, za to:

• Stiskněte současně klávesy Win R;
• Do okna zadejte "control.exe" a stiskněte Enter;
• Do vyhledávacího panelu ovládacího panelu (vpravo nahoře) napište „Možnosti průzkumníka“;
• Klikněte na zástupce "Možnosti průzkumníka" v hlavním okně;
• V novém okně přejděte na kartu "Zobrazit";
• Najděte "Skryté soubory a složky" a vyberte "Zobrazit skryté soubory, složky a jednotky";
• Klikněte na „Použít“ a poté na „OK“.

4. Otevřete Průzkumníka, přejděte do následujících složek:

• %ProgramData%
• %APPDATA%
• %TEMP%

(stačí zkopírovat každý název složky do adresního řádku Průzkumníka).

V každé z uvedených složek pečlivě zkontrolujte všechny podsložky a soubory. Odstraňte vše, co ve svém názvu obsahuje zmínku o viru WannaCrypt (Wana Decrypt0r 2.0).

Hledejte podezřelé položky registru v následujících složkách:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

6. Restartujte počítač.

Všem světem otřásla zpráva posledních dní – útok viru Wanna Decrypt0r. Ta věc je ostrá a nemilosrdná. Takže pokud jste měli to štěstí, že jste to nezachytili, ale operační systém jste dlouho neaktualizovali, tak jej urychleně aktualizujte bezpečnostní aktualizace. Zároveň můžete pro každý případ ručně zablokovat porty, přes které se ransomware dostává ke svým obětem.

Více informací o viru, jeho působení, šíření a ziskovosti naleznete zde:

Ochranná opatření

To lze provést například pomocí následujících příkazů:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Příkazy blokují přístup k TCP portům 135 a 445. Právě přes ně se virus šíří v lokálních sítích.

Mimochodem, dobrá zpráva je, že tato věc nešifruje Tekla Files. Ale DWG a 3ds jsou velmi dobré. Další důvod, proč modelovat s Tekla Structures.

UPD 1

Oprava pro pirátské verze win7, aby se zabránilo modrým obrazovkám po instalaci oprav z wantCry:

Hledání opravy, která pokrývá zranitelnost WannaCry

• Přejděte na výše uvedený odkaz a zkontrolujte aktualizační kód pro váš vyšší systém, například pro Windows 7 nebo Windows Server 2008 R2, kód bude 4012212 nebo 4012215
• Otevřete cmd.exe (příkazový řádek)
• Napište: seznam wmic qfe | findstr 4012212
• Stiskněte Enter
• Pokud v odpovědi vidíte něco takového, znamená to, že oprava je již nainstalována a můžete klidně spát: http://support.microsoft.com/?kbid=4012212 Aktualizace zabezpečení P2 KB4012212 NT AUTHORITY\system 3/18/ 2017
• Pokud vám odpověď vrátí prázdný řetězec, zkuste zkontrolovat další patch ze seznamu
• Pokud není nalezena žádná oprava, doporučuje se okamžitě nainstalovat aktualizaci softwaru

Internetem otřásá nový šifrovací virus WannaCry nebo WanaDecryptor 2.0, který místo uživatelských dat zanechává zašifrované soubory .wncry. Postiženy jsou statisíce počítačů a notebooků po celém světě. Postiženi byli nejen běžní uživatelé, ale i sítě tak velkých společností, jako jsou Sberbank, Rostelecom, Beeline, Megafon, Ruské dráhy a dokonce i ruské ministerstvo vnitra.

Takové rozsáhlé rozšíření viru ransomware zajistilo použití nových zranitelností v operačních systémech Windows, které byly odtajněny v dokumentech amerických zpravodajských služeb.

WanaDecryptor, Wanna Cry, WanaCrypt nebo Wana Decryptor – který název je správný?

V době, kdy virový útok na globální web začal, nikdo přesně nevěděl, jak se nová infekce jmenuje. Nejprve jí volali Wana Decrypt0r podle názvu okna se zprávou, které se objevilo na ploše. O něco později se objevila nová modifikace šifrovače - Chcete Decrypt0r 2.0. Opět se ale jedná o okno ransomwaru, které ve skutečnosti uživateli prodává dešifrovací klíč, který by teoreticky měl přijít oběti poté, co převede požadovanou částku podvodníkům. Samotný virus, jak se ukázalo, se nazývá Chci plakat(Okraj vany).
Na internetu stále najdete jeho různé názvy. Uživatelé navíc často používají číslo „0“ místo písmene „o“ a naopak. Také mnoho zmatků způsobují různé manipulace s mezerami, například WanaDecryptor a Wana Decryptor nebo WannaCry a Wanna Cry.

Jak WanaDecryptor funguje

Princip fungování tohoto ransomwaru se zásadně liší od předchozích ransomwarových virů, se kterými jsme se setkali. Dříve, aby mohla infekce na počítači začít fungovat, musela být nejprve spuštěna. To znamená, že uživatel s dlouhými ušima dostal poštou dopis s mazanou přílohou - skriptem vydávajícím se za nějaký dokument. Osoba spustila spustitelný soubor a tím aktivovala infekci OS. Virus Bath Edge funguje jinak. Nemusí se snažit uživatele oklamat, stačí, aby měl přístup ke kritické zranitelnosti služby sdílení souborů SMBv1 pomocí portu 445. Mimochodem, tato zranitelnost se stala dostupnou díky informacím z archivů amerických zpravodajských služeb zveřejněných na webu wikileaks.
Jakmile je WannaCrypt na počítači oběti, začne hromadně šifrovat soubory pomocí svého velmi silného algoritmu. Postiženy jsou zejména následující formáty:

klíč, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, raw, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Přípona zašifrovaného souboru se změní na .wcry. Virus ransomware může do každé složky přidat další dva soubory. První je instrukce, která popisuje, jak dešifrovat soubor wncry Please_Read_Me.txt, a druhá je dešifrovací aplikace WanaDecryptor.exe.
Tato ošklivá věc funguje tiše a mírumilovně, dokud neovlivní celý pevný disk, načež se zobrazí okno WanaDecrypt0r 2.0 vyžadující peníze. Pokud uživatel nepovolil dokončení dokončení a antiviru se podařilo odstranit šifrovací program, zobrazí se na ploše následující zpráva:

To znamená, že uživatel je varován, že některé z jeho souborů již byly ovlivněny, a pokud je chcete získat zpět, vraťte kryptor zpět. Jo, teď! V žádném případě to nedělejte, jinak přijdete o zbytek. Pozor! Nikdo neví, jak dešifrovat soubory WNCRY. Na shledanou. Možná se později objeví nějaký dešifrovací nástroj - počkáme a uvidíme.

Ochrana proti viru Wanna Cry

Obecně platí, že oprava Microsoft MS17-010 pro ochranu před ransomware Wanna Decryptor byla vydána 12. května a pokud služba Windows Update na vašem PC funguje normálně, pak
S největší pravděpodobností je operační systém již chráněn. V opačném případě si musíte stáhnout tuto opravu společnosti Microsoft pro vaši verzi systému Windows a urychleně ji nainstalovat.
Poté je vhodné podporu SMBv1 úplně zakázat. Alespoň do doby, než vlna epidemie odezní a situace se uklidní. To lze provést buď z příkazového řádku s právy správce zadáním příkazu:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Nebo přes Ovládací panely Windows. Zde musíte přejít do části „Programy a funkce“ a z nabídky vybrat „Zapnout nebo vypnout funkce systému Windows“. Objeví se okno:

Najděte položku „Podpora pro sdílení souborů SMB 1.0/CIFS“, zrušte její zaškrtnutí a klikněte na „OK“.

Pokud se náhle objeví problémy s deaktivací podpory SMBv1, můžete se k ochraně před Wanacrypt0r 2.0 vydat jinou cestou. Vytvořte pravidlo v bráně firewall používané v systému, které blokuje porty 135 a 445. Pro standardní bránu firewall systému Windows zadejte na příkazový řádek následující:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Close_TCP-445″

Další možností je použití speciální bezplatné aplikace Windows Worms Doors Cleaner:

Nevyžaduje instalaci a umožňuje snadno uzavřít mezery v systému, kterými se do něj může dostat šifrovací virus.

A samozřejmě nesmíme zapomenout na antivirovou ochranu. Používejte pouze osvědčené antivirové produkty - DrWeb, Kaspersky Internet Security, E-SET Nod32. Pokud již máte nainstalovaný antivirus, nezapomeňte aktualizovat jeho databázi:

Na závěr vám dám malou radu. Pokud máte velmi důležitá data, která je extrémně nežádoucí ztratit, uložte je na vyměnitelný pevný disk a uložte je do skříně. Alespoň po dobu trvání epidemie. Jedině tak lze nějak zaručit jejich bezpečnost, protože nikdo neví, jaká bude další úprava.

Jak odstranit Wana Decrypt0r 2.0

Internetový svět a uživatelé PC byli ohromeni novým typem ransomwaru pro šifrování dat nazvaným Wana Decrypt0r 2.0, který již infikoval tisíce pracovních stanic ve velmi krátké době. Infikovalo více než 99 zemí současně včetně Spojených států, Latinské Ameriky, Evropy a asijských zemí. Wana Decrypt0r 2.0 je známá pod několika názvy: WCry, WNCry, WannaCry a tak dále. Po úspěšné instalaci začne skenovat pracovní stanici a hledat soubory a programy, které dokáže zašifrovat. K uzamčení souborů používá šifrovací algoritmus RSA a AES a svou výchozí příponu názvu nahrazuje .wcry, .wcryt, .wncry nebo .wncrrytt. Související výkupné je uloženo v textovém souboru s názvem @Přečtěte si prosím [e-mail chráněný]. Tato poznámka obsahuje informace o ransomwaru a bitcoinech a e-mailovou adresu pro zaplacení výkupného. Výzkum ukazuje, že Wana Decrypt0r 2.0 vyžaduje, abyste zaplatili 300 amerických dolarů ve virtuální měně Bitcoin výměnou za dešifrovací klíč. Důrazně doporučujeme, abyste okamžitě oskenovali svou stanici pomocí výkonného nástroje proti malwaru, abyste zcela odstranili všechny související soubory a užitečný Wana Decrypt0r 2.0. Je velmi důležité, aby byly odstraněny všechny jeho prvky, aby nemohl zašifrovat žádné další soubory a data.

Jak se distribuuje Wana Decrypt0r 2.0?

Technicky je Wana Decrypt0r 2.0 schopen infikovat počítače se systémem Windows. Zneužívá zranitelnost EternalBlue ve verzích Windows 7, 8, 10 a Windows Server. Je zajímavé, že pokud jste v březnu 2017 neobdrželi záplaty Microsoftu, index MS17-010, CVE-2017-0146 a CVE-2017-0147, pak jste se s největší pravděpodobností nakazili tímto malwarem. Stejně jako ostatní ransomware stále není známo, zda k jeho distribuci používá tablety nebo kampaně s přílohou nevyžádané pošty. Při otevírání jakékoli přílohy e-mailu nebo klikání na libovolné hypertextové odkazy při procházení byste však měli být velmi opatrní.

Jak dešifrovat Wana Decrypt0r 2.0

Podle kyberzločinců vás manipulují, abyste zaplatili výkupné, aby získali požadovaný dešifrovací klíč. Kybernetičtí experti ale plně souhlasí s doporučením zaplatit výkupné. V minulosti došlo k mnoha situacím, kdy původní dešifrovací klíč neposkytnul prodejce ani po zaplacení peněz. Proto je vždy lepší vyzkoušet alternativní způsoby, jako je použití záložních souborů, virtuálních stínových kopií nebo dokonce bezplatného nástroje pro obnovu dat dostupného na internetu. Zároveň nezapomeňte zkontrolovat provoz stanice pomocí výkonného nástroje proti malwaru a odstranit všechny související prvky Wana Decrypt0r 2.0.

Jak se Wana Decrypt0r 2.0 dostane do PC

Tento druh malwarové infekce ukazuje, jak jsou v této moderní informační době zranitelní. To by mohlo narušit výkon PC a zároveň bychom mohli přijít o mnohamilionové ztráty. Objevilo se několik zpráv, kdy jeden počítač byl napaden malwarem, tisíce počítačů se systémem Windows za jeden den. Pro úspěšné odstranění Wana Decrypt0r 2.0 je tedy také důležité vědět, že tento malware cílí na infikovaný počítač a snadno se do něj dostane.

Obvykle přistupuje k souborům komponent a kódům ze skutečných programů, které jsou často nabízeny jako freeware. Navazují na legitimní svobodný software a instalují se velmi tiše. Předpokládejme, že si tento virus nainstalujete s nějakým Java programem, takže při každém spuštění tohoto Java souboru se tato infekce také aktivuje a spustí svou podezřelou aktivitu. Obvykle se samy replikují a mohou se rozmnožovat. Navíc může procházet poškozenými e-mailovými zprávami, peer-to-peer souborem, podezřelými hypertextovými odkazy atd. Je schopen využívat počítačovou síť a bezpečnostní díry, aby se replikoval a instaluje se velmi tiše. Velkým zdrojem počítačových malwarových útoků jsou také programy stažené z internetu, zejména z nedůvěryhodných zdrojů.

Jak může být Wana Decrypt0r 2.0 nebezpečný?

Jakýkoli typ PC malwaru je vždy nebezpečný, a pokud se jedná o kalibr Wana Decrypt0r 2.0, pak se situace ještě zhoršila. Dokáže převzít kontrolu nad celým prohlížečem, blokuje přístup k důležitým aplikacím a funkcím a navíc využívá nastavení zabezpečení k tomu, aby do zadních vrátek vnesl tolik dalšího malwaru. Získejte obsah webové stránky, kterou navštívíte, automaticky a její klíčové slovo bude tučné a hypertextové ze škodlivých adres URL na ní. Jste povinni být přesměrováni prostřednictvím phishingových a nebezpečných webových stránek, které obsahují převážně porno obsah.

Základní chování Wana Decrypt0r 2.0 je špehovat vaše online aktivity a dávat vaše citlivé informace pod dohled. Může používat podezřelé zásuvné moduly prohlížeče, doplňky a dokonce i keyloggery a klávesové zkratky za účelem špehování a zaznamenávání aktivit uživatelů a úniku vysoce citlivých dat, jako jsou ID, hesla, zeměpisná poloha a IP adresy, bankovní údaje atd. Změnou nastavení vašeho internetového připojení, váš počítač je připojen ke kyberforenznímu serveru, takže k vašemu počítači mají nelegální přístup neoprávněné třetí strany. Převezme výchozí domovskou stránku a vyhledávač vašeho prohlížeče a ve výsledcích vyhledávání zobrazí irelevantní podezřelé webové stránky. Většina webových stránek ve výsledcích vyhledávání jsou komerční domény, které nemají pro vyhledávací dotazy absolutně žádnou hodnotu. Proto je důležité odstranit Wana Decrypt0r 2.0, jakmile si všimnete prvních příznaků.

Pokyny k odstranění Wana Decrypt0r 2.0

Naplánujte si: zbavit se Wana Decrypt0r 2.0 ručním procesem (doporučeno pouze kybernetickými odborníky a špičkovými techniky)

Plán b : Odeberte Wana Decrypt0r 2.0 z Windows PC pomocí nástroje pro automatické odstranění (bezpečné a snadné pro všechny uživatele PC)

Windows OS Plán A: Zbavte se Wana Decrypt0r 2.0 ručně

Před provedením ručního procesu je třeba potvrdit několik věcí. První věcí je, že musíte mít technické znalosti a zkušenosti s ručním odstraňováním PC malwaru. Musíte mít hluboké znalosti o položkách a souborech systémového registru. Musíte být schopni vrátit nesprávné kroky zpět a musíte si být vědomi možných negativních důsledků, které mohou vyplynout z vaší chyby. Pokud tyto základní technické znalosti neprovedete, bude plán velmi riskantní a je třeba se mu vyhnout. V takovém případě se důrazně doporučuje povolit plán B, který je lehčí a pomůže vám detekovat a odstranit Wana Decrypt0r 2.0 snadno pomocí automatického nástroje. (S SpyHunter a RegHunter)

Krok 1: Odebrat Wana Decrypt0r 2.0 z ovládacího panelu

Krok 2: Odeberte Wana Decrypt0r 2.0 z prohlížečů

V prohlížeči Chrome: Otevřete Google Chrome > klikněte na nabídku Chrome > vyberte Nástroje > klikněte na rozšíření > vyberte rozšíření Wana Decrypt0r 2.0 > koš

Ve Firefoxu: Otevřete Firefox > přejděte do pravého rohu a otevřete nabídku prohlížeče > vyberte Doplňky > vyberte a odeberte rozšíření Wana Decrypt0r 2.0

V Internet Exploreru: Otevřete IE > klikněte na Nástroje > klikněte na spravovat doplňky, nástroje a rozšíření > vyberte rozšíření Wana Decrypt0r 2.0 a jeho prvky a odstranit je.

Krok 3: Odstraňte škodlivé soubory a položky registru Wana Decrypt0r 2.0

3. Zjistěte položky registru vytvořené Wana Decrypt0r 2.0 a opatrně je jednu po druhé odstraňte

• HKLM\SOFTWARE\Classes\AppID\ .exe
• HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Hlavní\Přesměrování úvodní stránky=”http:// .com"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\název viru
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon „Shell“ = „%AppData%\ .exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• ‚Náhodný‘ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

Plán b: Odstraňte Wana Decrypt0r 2.0 pomocí automatického nástroje Wana Decrypt0r 2.0

Krok 1. Prohledejte infikovaný počítač pomocí SpyHunter a odstraňte Wana Decrypt0r 2.0.

1. Klikněte na tlačítko Stáhnout pro bezpečné stažení SpyHunter.

Poznámka : Při načítání SpyHunter na vašem PC může váš prohlížeč zobrazit falešné varování, jako například „Tento typ souboru může poškodit váš počítač. Chcete přesto ponechat Download_Spyhunter-installer.exe?" Pamatujte, že se jedná o podvodnou zprávu, která je ve skutečnosti vytvořena infekcí počítače. Měli byste jednoduše ignorovat zprávu a kliknout na tlačítko "Uložit".

2. Spusťte SpyHunter-Installer.exe a nainstalujte SpyHunter pomocí instalačního programu softwaru Enigma.

3. Jakmile je instalace dokončena, přiměje SpyHunter prohledat váš počítač a hloubkově hledat, aby detekoval a odstranil Wana Decrypt0r 2.0 a jeho přidružené soubory. Jakýkoli malware nebo potenciálně nežádoucí programy jsou automaticky skenovány a detekovány.

4. Kliknutím na tlačítko „Opravit hrozby“ odstraníte všechny počítačové hrozby zjištěné SpyHunterem.

Krok 2: Použijte RegHunter k maximalizaci výkonu počítače

1. Kliknutím stáhnete RegHunter spolu se SpyHunterem

2. Spusťte RegHunter-Installer.exe a nainstalujte RegHunter prostřednictvím instalačního programu

Metody používané nástrojem pro automatické odstranění Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 je velmi pokročilá malwarová infekce, takže pro antimalwarový software je velmi obtížné získat aktualizaci detekce pro takové útoky malwaru. Ale s automatickým nástrojem pro odstranění Wana Decrypt0r 2.0 žádné takové problémy nejsou. Tento skener malwaru získává pravidelné aktualizace nejnovějších definic malwaru, a proto dokáže velmi rychle prohledat váš počítač a odstranit všechny typy malwarových hrozeb včetně spywaru, malwaru, trojských koní a tak dále. Mnoho průzkumů a počítačových expertů tvrdí, že je to nejlepší nástroj pro odstranění infekce pro všechny verze Windows PC. Tento nástroj zcela deaktivuje spojení mezi kybernetickým forenzním a vaším počítačem. Má velmi pokročilý algoritmus skenování a proces odstraňování malwaru ve třech krocích, takže proces skenování i odstraňování malwaru jsou velmi rychlé.

Jak informovala ruská média, práce oddělení ministerstva vnitra v několika regionech Ruska byla narušena kvůli ransomwaru, který infikoval mnoho počítačů a hrozí zničením všech dat. Navíc byl napaden komunikační operátor Megafon.

Řeč je o WCry ransomware trojan (WannaCry nebo WannaCryptor). Zašifruje informace v počítači a za dešifrování požaduje výkupné 300 nebo 600 dolarů v bitcoinech.

@[e-mail chráněný], šifrované soubory, přípona WNCRY. Je vyžadován nástroj a pokyny pro dešifrování.

WannaCry šifruje soubory a dokumenty s následujícími příponami přidáním .WCRY na konec názvu souboru:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Útok WannaCry po celém světě

Útoky byly zaznamenány ve více než 100 zemích. Největší problémy zažívají Rusko, Ukrajina a Indie. Zprávy o virové infekci přicházejí z Velké Británie, USA, Číny, Španělska a Itálie. Je třeba poznamenat, že hackerský útok zasáhl nemocnice a telekomunikační společnosti po celém světě. Na internetu je k dispozici interaktivní mapa šíření hrozby WannaCrypt.

Jak k infekci dochází?

Jak říkají uživatelé, virus se dostane do jejich počítačů bez jakékoli akce z jejich strany a nekontrolovatelně se šíří po sítích. Na fóru Kaspersky Lab upozorňují, že ani zapnutý antivirus nezaručuje bezpečnost.

Uvádí se, že k útoku ransomwaru WannaCry (Wana Decryptor) dochází prostřednictvím zranitelnosti Microsoft Security Bulletin MS17-010. Poté byl na infikovaný systém nainstalován rootkit, pomocí kterého útočníci spustili šifrovací program. Všechna řešení společnosti Kaspersky Lab detekují tento rootkit jako MEM:Trojan.Win64.EquationDrug.gen.

K infekci prý došlo o pár dní dříve, ale virus se projevil až poté, co zašifroval všechny soubory v počítači.

Jak odstranit WanaDecryptor

Hrozbu budete moci odstranit pomocí antiviru, většina antivirových programů již hrozbu rozpozná. Společné definice:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Výkupné:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Pokud jste již spustili hrozbu na svém počítači a vaše soubory byly zašifrovány, dešifrování souborů je téměř nemožné, protože zneužití zranitelnosti spustí síťový šifrátor. Existuje však již několik možností pro dešifrovací nástroje:

Poznámka: Pokud byly vaše soubory zašifrovány a neexistuje žádná záložní kopie a stávající dešifrovací nástroje nepomohly, pak se doporučuje před odstraněním hrozby z počítače uložit zašifrované soubory. Budou užitečné, pokud se v budoucnu vytvoří dešifrovací nástroj, který vám bude fungovat.

Microsoft: Nainstalujte aktualizace systému Windows

Microsoft uvedl, že uživatelé s bezplatným antivirem společnosti a povolenou aktualizací systému Windows budou chráněni před útoky WannaCryptor.

Aktualizace ze 14. března opravují zranitelnost systému, jejímž prostřednictvím je trojský kůň ransomware distribuován. Dnešní detekce byla přidána do antivirových databází Microsoft Security Essentials/Windows Defender na ochranu před novým malwarem známým jako Ransom:Win32.WannaCrypt.

• Ujistěte se, že máte zapnutý antivirus a že jsou nainstalovány nejnovější aktualizace.
• Pokud váš počítač nemá žádnou ochranu, nainstalujte si bezplatný antivirus.
• Nainstalujte nejnovější aktualizace systému pomocí služby Windows Update:
  • Pro Windows 7, 8.1 Z nabídky Start otevřete Ovládací panely > Windows Update a klepněte na Hledat aktualizace.
  • Pro Windows 10 Přejděte do Nastavení > Aktualizace a zabezpečení a klikněte na „Vyhledat aktualizace“.
• Pokud aktualizace instalujete ručně, nainstalujte oficiální opravu Microsoft MS17-010, která řeší zranitelnost serveru SMB použitou při útoku ransomwaru WanaDecryptor.
• Pokud má váš antivirus ochranu proti ransomwaru, zapněte ji. Na našem webu máme také samostatnou sekci Ransomware Protection, kde si můžete stáhnout bezplatné nástroje.
• Proveďte antivirovou kontrolu vašeho systému.

Odborníci poznamenávají, že nejjednodušší způsob, jak se chránit před útokem, je zavřít port 445.

• Napište sc stop lanmanserver a stiskněte Enter
• Zadejte pro Windows 10: sc config lanmanserver start=disabled , pro ostatní verze Windows: sc config lanmanserver start= disabled a stiskněte Enter
• Restartujte počítač
• Na příkazovém řádku zadejte netstat -n -a | findstr "POSLECHNUTÍ" | findstr ":445" a ujistěte se, že je port zakázán. Pokud jsou prázdné řádky, port neposlouchá.

V případě potřeby otevřete port zpět:

• Spusťte příkazový řádek (cmd.exe) jako správce
• Zadejte pro Windows 10: sc config lanmanserver start=auto , pro ostatní verze Windows: sc config lanmanserver start= auto a stiskněte Enter
• Restartujte počítač

Poznámka: Port 445 používá systém Windows pro sdílení souborů. Uzavření tohoto portu nezabrání počítači v připojení k jiným vzdáleným zdrojům, ale ostatní počítače se nebudou moci připojit k systému.