Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
Как можно заметить, текст на русском языке сделан вымогателями с помощью Google-переводчика. (См. выводы в начале статьи под флажком).
Сообщение подтверждения оплаты и запуска дешифровки
Сообщение завершения дешифровки
Рекомендации по предотвращению угрозы
1. Этот вредонос использует уязвимость, описанную в следующих статьях Microsoft:
Microsoft Security Bulletin MS17-010 - Critical
MS17-010: Описание обновления безопасности для Windows SMB Server: 14 марта 2017 г.
Короче говоря, там рекомендуется скачать патч, закрывающий эту уязвимость, согласно версии вашей Windows.
Еще проще! Ниже в комментариях есть все прямые ссылки для всех версий Windows, включая XP и Vista. Скопируйте ссылку для своей ОС и вставьте в адресную строку браузера.
Сделать это необходимо НЕМЕДЛЕННО!
После установки потребуется перезагрузить компьютер. Дождитесь завершения обновления.
2. Если установка патча по каким-то причинам невозможна, то следует отключить SMB v1, v2, v3, протокола SMB (Server Message Block) в Windows и Windows Server, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138.
Например, быстро заблокировать порты 139 и 445 можно с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Другие порты — аналогично. С правами администратора.
Хотя отключение SMB может создать администраторам немало проблем, но в данном случае плюсы перевешивают минусы, так как потенциальная угроза для пользователей страшнее.
См. статьи от Microsoft:
Как включить и отключить SMBv1, протокола SMB версии 2 и SMBv3 в Windows и Windows Server
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Сделать это необходимо также НЕМЕДЛЕННО!
Технические детали
Для распространения использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям самостоятельно, наподобие червя, сканируя Интернет на наличие открытых портов.
В рамках другой вредоносной кампании вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
С помощью этой уязвимости в старых ОС Windows червь для SMB распространяется по локальной сети организации или предприятия без каких-то действий со стороны пользователя компьютера.
Этот Ransomware создаёт мьютекс "Global\MsWinZonesCacheCounterMutexA" и запускает удаление теневых копий файлов, точек восстановления и отключает отладку ошибок загрузки Windows единой командой:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Контроль учетных записей (UAC) не обходит. Если UAC не отключен заранее, то выйдет предупреждение на выполнение этой команды.
Чтобы подготовить компьютер к шифрованию WanaCrypt0r выполняет специальную команду iCACLS, чтобы изменить права доступа к файлам и папкам, расположенным в папке и подпапках, откуда WanaCrypt0r был запущен. Затем он завершает процессы , связанные с серверными базами данных и почтовыми серверами, чтобы шифровать базы данных и почтовые ящики.
Если файл большой, то шифруется не весь файл, а только его часть. Например, если файл больше 10 Мб, тогда шифруется только 1/3 часть и ~20 байт в конце. Используются шифры RSA-512 и AES-128.
В случае, если файлы расположены в важных папках ("Рабочий стол", "Мои документы"), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (кроме как заплатить выкуп).
Если файлы не находятся в "важных" папках, то исходные файлы будут перемещены в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, а лишь удаляются с диска, потому их можно восстановить с помощью специального ПО для восстановления данных.
Список файловых расширений, подвергающихся шифрованию:
1-й список (один образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb,
.aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2,
.cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu,
.doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv,
.frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay,
.lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4,
.mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2,
.ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png,
.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd,
.pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3,
.sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm,
.sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk,
.vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls,
.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (166 расширений).
2-й список (второй образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).
3-й список (третий образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
wcry.zip
@WanaDecryptor@.exe
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
WanaDecryptor.exe
WanaDecryptor.exe.lnk
taskse.exe
taskdl.exe
tasksche.exe
mks.exe
hptasks.exe
<random>.exe
c:\windows\mssecsvc.exe
и другие.
Расположения:
C:\Users\User\AppData\Local\@WanaDecryptor@.exe.lnk
Файлы вымогателя @WanaDecryptor@.exe и @Please_Read_Me@.txt находятся во всех папках с зашифрованными файлами.
Файлы, установившиеся вместе с шифровальщиком, нужные для работы WanaCrypt0r/Wana Decrypt0r:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData.
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.
WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange
Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com - сайт Killswitch
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ с .WNCRY >> Ещё >> Ещё >>
VirusTotal анализ с .WNCRY >> Ещё >>
Гибридный анализ с .WNCRYT >>
VirusTotal анализ с .WNCRYT >>
Malwr анализ с .WNCRYT >> Ещё >>
Intezer анализ >>
WannaCry: javaupdate.exe, creates g.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/
WannaCry: svchost.exe, creates lsasvs.exe
https://www.virustotal.com/ru/file/91146ee63782a2061701db3229320c161352ee2bc4059ccc3123a33114774d66/analysis/
WannaCry: lsasvs.exe, creates 50793105.exe
https://www.virustotal.com/ru/file/a7ea1852d7e73ef91efb5ec9e26b4c482ca642d7bc2bdb6f36ab72b2691ba05a/analysis/
WannaCry: 50793105.exe, creates taskhcst.exe
https://www.virustotal.com/ru/file/7f8166589023cd62ae55a59f5fca60705090d17562b7f526359a3753eb74ea2f/analysis/
WannaCry: taskhcst.exe
https://www.virustotal.com/ru/file/043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2/analysis/
WannaCry: armsvc.exe, javaupdate.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/
WannaCry: jusched.exe
https://www.virustotal.com/ru/file/524f8f0f8c31a89df46a77c7a30af5d2a1dc7525b08bfafbed98748c3d8a3f1c/analysis/
WannaCry: msinj32.exe
https://www.virustotal.com/ru/file/41e9d6c3374fd0e78853e945b567f9309446084e05fd013805c70a6a8205cd70/analysis/
WannaCry: goyqsvc.dll
https://www.virustotal.com/ru/file/436195bd6786baae8980bdfed1d7d7dbcccb7d5085e79ebdcc43e22d8bae08a8/analysis/
WannaCry: exldcmgmt.dll
https://www.virustotal.com/ru/file/9f177a6fb4ea5af876ef8a0bf954e37544917d9aaba04680a29303f24ca5c72c/analysis/
WannaCry: oledbg32.dll
https://www.virustotal.com/ru/file/ae8e9ff2dc0ec82b6bae7c4d978e3feac93353cb3cd903e15873d31e30749150/analysis/
WannaCry: bitssvcs.dll
https://www.virustotal.com/ru/file/fc079cefa19378a0f186e3e3bf90bdea19ab717b61a88bf20a70d357bf1db6b8/analysis/
Степень распространённости: высокая (глобальная атака).
Подробные сведения собираются регулярно.
Схему распространения этой угрозы см. онлайн.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
СМИ сообщают о новых атаках WannaCry и массовых инфекциях. На самом деле всё иначе. Несколько других вредоносов могли маскироваться и выдавать себя за WannaCry. Эти случаи известны и вряд ли они последние. При этом опасность представляет не только сам вредонос (любой из имитаторов и дубликатов), а также то, что в них используются эксплойты из арсенала АНБ, от которых в операционных системах нет защиты, кроме послевременного патча.
В мае 2018 года специалисты Symantec предупреждали, что разрушительный потенциал WannaCry будет опасен всегда и не имеет срока давности. Потому новые заражения, о которых истерят СМИ, были вызвано бездействием обслуживающего персонала и нерациональными действиями руководства, решившего, что они умнее атакующих.
Необходимо защищаться всегда! Для этого я выработал и опубликовал здесь "Комплекс мероприятий для защиты от Ransomware". Это на сегодняшний день единственная защита. Изучите эти рекомендации и выработайте комплекс мероприятий для защиты своего предприятии и организации от Ransomware.
---
Обновление от 23 января 2020:
Пост в Твиттере >>
Результаты анализов: VT
Внимание!
Есть 3 дешифровщика, но их возможности ограничены:
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >> *
3) WannaCry Decryption tool на китайском, если непонятно, пишите мне.
Описание и загрузка >>
Read to links:
Tweet on Twitter + Tweet
ID Ransomware (ID as WannaCryptor)
Added later: Video review
Write-up, Topic, Research
Write-up on BC, Topic on BC История WannaCry 5 лет спустя
Dr.Web: Trojan.Encoder.11432, известный как WannaCry
Подробности о шифровальщике (May 16, 2017)
Symantec Official Blog (May 22, 2017)
WannaCry: Ransomware attacks show strong links to Lazarus group
TrustLook blog (May 16, 2017)
386 WannaCry Ransomware Samples
FireEye (May 23, 2017)
WannaCry Malware Profile
Kryptos Logic (May 29, 2017)
WannaCry: Two Weeks and 16 Million Averted Ransoms Later
Securelist (June 1, 2017)
WannaCry mistakes that can help you restore files after infection
Thanks:
MalwareHunterTeam, Jakub Kroustek
Michael Gillespie
Alex Svirid, GrujaRS
BleepingComputer
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private