Wanna decryptor (WannaCry) - kendinizi dijital bir salgından nasıl korursunuz. WannaCry fidye yazılımı ile toplu enfeksiyon - @ [e-posta korumalı] Want decryptor 2 tarafından şifrelenmiş dosyaları kurtarın

Mayıs 2017, hizmet için yağmurlu bir gün olarak tarihe geçecek bilgi Güvenliği... Bu gün dünya, güvenli bir sanal dünyanın kırılgan ve savunmasız olabileceğini öğrendi. Wanna şifre çözücü veya özenti adı verilen bir fidye yazılımı virüsü, dünya çapında 150.000'den fazla bilgisayarı ele geçirdi. Yüzden fazla ülkede enfeksiyon vakaları kaydedildi. Tabii ki, küresel enfeksiyon durduruldu, ancak hasarın milyonlarca olduğu tahmin ediliyor. Fidye yazılımı virüsünün yayılma dalgaları hala bazı makineleri heyecanlandırıyor, ancak bu salgın şimdiye kadar kontrol altına alındı ve durduruldu.

WannaCry - nedir ve kendinizi ondan nasıl korursunuz

Wanna decryptor, bir bilgisayardaki verileri şifreleyen ve sahibinden para sızdıran bir virüs grubuna aittir. Tipik olarak, verileriniz için fidye miktarı 300 ila 600 dolar arasında değişmektedir. Gün boyunca virüs, İngiltere'deki bir belediye hastane ağına, Avrupa'daki büyük bir televizyon ağına ve hatta Rusya İçişleri Bakanlığı'nın bilgisayarlarının bir kısmına bulaşmayı başardı. Mutlu bir tesadüf sayesinde, yayılmayı manuel olarak durdurmak için yaratıcıları tarafından virüsün koduna dikilmiş bir doğrulama alanı kaydettirerek bunu durdurdular.

Virüs, bilgisayara diğer birçok durumda olduğu gibi bulaşır. Mektuplar, sosyal profiller göndermek ve özünde sadece sörf yapmak - bu yöntemler, virüse sisteminize girme ve tüm verilerinizi şifreleme fırsatı verir, ancak sistem güvenlik açığı ve açık bağlantı noktası aracılığıyla açık eylemleriniz olmadan nüfuz edebilir.

WannaCry, Windows işletim sistemindeki yakın zamanda yayınlanan güncellemeler tarafından kapatılan bir güvenlik açığından yararlanarak 445 numaralı bağlantı noktasında gezinir. Yani bu bağlantı noktası sizin için kapalıysa veya yakın zamanda Windows'u ofisten güncellediyseniz. site, o zaman enfeksiyon hakkında endişelenemezsiniz.

Virüs aşağıdaki şemaya göre çalışır - dosyalarınızdaki veriler yerine, Mars dilinde anlaşılmaz dalgalanmalar alırsınız, ancak tekrar normal bir bilgisayar almak için siber suçlulara ödeme yapmanız gerekir. Sıradan insanların bilgisayarlarına bu vebayı salanlar bitcoin ödemesi kullanıyorlar, bu yüzden kötü Truva atlarının sahiplerini bulmak mümkün olmayacak. 24 saat içinde ödemezseniz, fidye miktarı artacaktır.

Truva atının yeni sürümü "Ağlamak istiyorum" olarak tercüme ediliyor ve veri kaybı bazı kullanıcıları gözyaşlarına boğabilir. Bu nedenle önleyici tedbirler almak ve enfeksiyonu önlemek daha iyidir.

Fidye yazılımı, Windows'ta Microsot'un önceden düzelttiği bir güvenlik açığından yararlanır. İşletim sistemini 14 Mart 2017 tarihli MS17-010 güvenlik protokolüne güncellemeniz yeterlidir.

Bu arada, yalnızca lisanslı kullanıcılar işletim sistemi... Bunlardan biri değilseniz, güncelleme paketini indirin ve manuel olarak kurun. Önlemek yerine enfeksiyonu yakalamamak için güvenilir kaynaklardan indirmeniz yeterlidir.

Tabii ki, koruma kendisi olabilir yüksek seviye, ancak çok şey kullanıcının kendisine bağlıdır. Posta yoluyla veya sosyal profilinizde size gelen şüpheli bağlantıları açamayacağınızı unutmayın.

Wanna şifre çözücü virüsü nasıl tedavi edilir

Bilgisayarına zaten virüs bulaşmış olanlar, uzun süreç tedavi.

Virüs, kullanıcının bilgisayarında çalışır ve birkaç program oluşturur. Biri verileri şifrelemeye başlar, diğeri fidye yazılımı ile iletişimi sağlar. İş monitöründe, size bir virüs kurbanı olduğunuzu açıkladıkları ve mümkün olan en kısa sürede para transfer etmeyi teklif ettikleri bir yazı görünür. Aynı zamanda hiçbir dosyayı açamazsınız ve uzantılar anlaşılmaz harflerden oluşur.

Kullanıcının yapmaya çalıştığı ilk eylem, yerleşik veri kurtarma aracını kullanarak veri kurtarmadır. Windows hizmetleri... Ancak komutu çalıştırdığınızda ya hiçbir şey olmuyor ya da çabalarınız boşa gidiyor - Wanna Decryptor'dan kurtulmak o kadar kolay değil.

En iyilerinden biri basit yollar bir virüsü tedavi etmek sadece sistemi yeniden kurmaktır. Bu durumda, yalnızca diskte bulunan verileri kaybetmezsiniz. kurulu sistem... Sonuçta, tam bir kurtarma için tüm sabit sürücüyü biçimlendirmeniz gerekecek. Bu kadar sert adımlara hazır değilseniz, sistemi manuel olarak iyileştirmeyi deneyebilirsiniz:

Makalede yukarıda açıklanan sistem güncellemesini indirin.
Ardından, İnternet bağlantısını kesiyoruz
cmd komut satırını çalıştırın ve virüsün bilgisayara girdiği 445 numaralı bağlantı noktasını engelleyin. Bu, aşağıdaki komutla yapılır:
netsh advfirewall güvenlik duvarı kuralı ekle dir = eylemde = blok protokolü = tcp localport = 445 ad = "Block_TCP-445"
Ardından, sistemi başlatıyoruz güvenli mod... Yükleme sırasında F8'i tutuyoruz, sistemin kendisi size bilgisayarı tam olarak nasıl başlatacağınızı soracak. "Güvenli Mod" seçeneğini seçmeniz gerekir.
Virüsün bulunduğu klasörü bulun ve silin, virüsün kısayoluna tıklayıp "Dosya konumu"na tıklayarak bulabilirsiniz.
Bilgisayarı normal modda yeniden başlatıyoruz ve indirdiğimiz sistem için güncellemeyi kuruyoruz, interneti açıp kuruyoruz.

Ağlamak istiyorum - dosyaların şifresi nasıl çözülür

Virüsün tüm tezahürlerinden tamamen kurtulduysanız, verilerin şifresini çözmeye başlamanın zamanı geldi. Ve en zor şeyin bittiğini düşünüyorsanız, büyük ölçüde yanılıyorsunuz. Tarihte fidye yazılımının yaratıcılarının kendilerine ödeme yapan ve onu hizmete gönderen kullanıcıya yardım edemediği bir durum bile var. teknik Destek antivirüs.

En iyi seçenek tüm verileri silmek ve. Ancak böyle bir kopya yoksa, biraz çalışmanız gerekecektir. Ve dekoder programları size yardımcı olacaktır. Doğru, hiçbir program %100 sonucu garanti edemez.

Gölge Gezgini veya Windows Veri kurtarma gibi verilerin şifresini çözmekle başa çıkabilecek birkaç basit program vardır. Ayrıca periyodik olarak şifre çözücüler yayınlayan Kaspersky Lab'ı da incelemeye değer - http://support.kaspersky.com/viruses/utility

Çok önemli! Şifre çözme programlarını yalnızca virüsün tüm belirtilerini kaldırdıktan sonra çalıştırın, aksi takdirde sisteme zarar verme veya yeniden veri kaybetme riskiyle karşı karşıya kalırsınız.

Wanna decryptor, herhangi bir büyük işletmenin ve hatta bir devlet kurumunun güvenlik sisteminin ne kadar kırılgan olabileceğini gösterdi. Bu yüzden Mayıs ayı birçok ülke için gösterge oldu. Bu arada, Rusya İçişleri Bakanlığı'nda yalnızca Windows kullanan makineler zarar gördü, ancak Rus tarafından geliştirilen Elbrus işletim sisteminin kurulu olduğu bilgisayarlar zarar görmedi.

Wanna şifre çözücü hangi tedavilerde size yardımcı oldu? Bu makaleye bir yorum yazın ve başkalarıyla paylaşın.

Kaçırmamak için yeni makalelere abone olun!

12 Mayıs'ta yaklaşık 13MSK'da bir "bomba" patladı ve Wana Decryptor virüsü yayılmaya başladı. Neredeyse birkaç saat içinde dünya çapında on binlerce bilgisayara virüs bulaştı. Bugüne kadar, 45.000'den fazla virüslü bilgisayar doğrulandı.

enfeksiyon Ağlamak istiyor fidye yazılımı virüsü hem sıradan kullanıcıların bilgisayarlarını hem de Rusya İçişleri Bakanlığı da dahil olmak üzere çeşitli kuruluşlardaki iş bilgisayarlarını etkiledi.

Ne yazık ki, şu anda WNCRY dosyalarının şifresini çözmenin bir yolu yok, ancak ShadowExplorer ve PhotoRec gibi programları kullanmayı deneyebilirsiniz.

Bu virüsün doğru adı nedir - Wana Decryptor, WanaCrypt0r, Wanna Cry veya Wana Decrypt0r?

Virüsün ilk tespitinden bu yana, bu fidye yazılımı virüsü hakkında birçok farklı mesaj ağda belirdi ve genellikle farklı isimlerle anılıyor. Bu birkaç nedenden dolayı oldu. Wana Decrypt0r virüsünün kendisi ortaya çıkmadan önce, ilk versiyonu Wanna Decrypt0r'dı, mevcut sürümden (2.0) temel farkı yayılma şekliydi. Bu ilk varyant, küçük kardeşi kadar yaygın olarak bilinmedi, ancak bu sayede bazı haberlerde, yeni fidye yazılımı virüsünün adını ağabeyi Wanna Cry, Wanna Decryptor'dan alıyor.

Yine de asıl isim Wana Decrypt0r'dır, ancak çoğu kullanıcı "0" sayısı yerine "o" harfini yazar, bu da bizi Wana Decryptor veya WanaDecryptor adına getirir.

Ve kullanıcıların bu fidye yazılımı virüsü olarak adlandırdıkları son isim, şifrelemeden geçen dosyaların adına eklenen uzantı ile WNCRY virüsüdür.

Wana Decryptor bilgisayara nasıl giriyor?

Wana Decrypt0r fidye yazılımının hızla yayılmasının nedeni, çalışan SMB hizmetinde bir güvenlik açığının varlığıdır. Windows sistemleri... Bu güvenlik açığı tüm modern Windows sürümü, Windows 7'den Windows 10'a. 14 Mart 2017 gibi erken bir tarihte, "MS17-010: Windows SMB Server için güvenlik güncellemesi" (bağlantı) güncellemesi yayınlandı, ancak virüsün yayılma hızının gösterdiği gibi, bu güncelleme henüz yayınlanmadı. tüm bilgisayarlarda yüklü.

Bu nedenle, MS17-010 güncellemesini henüz yüklemediyseniz, bunu en kısa sürede yapmanız gerekir! Wana Decrypt0r deli gibi yayılıyor ve bu yama olmadan bilgisayarınız enfeksiyona tamamen açık.

WanaDecryptor bilgisayardaki dosyaları nasıl şifreler?

WNCRY başlatıldığında, fidye yazılımı virüsü öncelikle aşağıdaki dosyaları içeren yükleyicisini açar:

b.wry
c.wnry
r.wnry
s.wnry
t.wnry
Taskdl.exe
görev.exe
u.wry

Ardından arşivden bilgisayar kullanıcısının kullandığı dilde bir fidye mesajı alır. Wana Decrypt0r şu anda aşağıdaki dilleri desteklemektedir:

Bulgarca, Çince (basitleştirilmiş), Çince (geleneksel), Hırvatça, Çekçe, Danca, Felemenkçe, İngilizce, Filipince, Fince, Fransızca, Almanca, Yunanca, Endonezyaca, İtalyanca, Japonca, Korece, Letonca, Norveççe, Lehçe, Portekizce, Rumence, Rusça, Slovakça, İspanyolca, İsveççe, Türkçe, Vietnamca

Ardından, WanaCrypt0r virüsü, fidye yazılımı kontrol sunucularıyla iletişim kurmak için kullanılan TOR tarayıcısını indirir. Bu işlem tamamlandığında virüs, erişilebilir tüm dizinlere ve dosyalara tam erişim sağladığı bir komut yürütür. Bu, mümkün olduğunca şifrelemek için gereklidir. daha fazla dosya virüslü bilgisayarda.

Bir sonraki aşamada WanaDecryptor, mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange *, Microsoft.Exchange adlarıyla işlemleri sonlandırır.* Virüs bulaşan bilgisayardaki tüm veritabanlarını şifrelemek için.

Yukarıda açıklanan hazırlık adımlarını tamamladıktan sonra virüs, şifreleme işleminin kendisine geçer. Sürecinde, aşağıdaki uzantılara sahip dosyalar şifrelenir:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb , .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat,. vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes,. gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx,. doktor

Bu arada, Rusya'daki popüler 1C programının uzantılarını içermeyen uzantı listesine dayanarak, virüsün büyük olasılıkla Rus programcılar tarafından oluşturulmadığı sonucuna varabiliriz.

Bir dosya şifrelendiğinde, adına ".WNCRY" uzantısı eklenir. Yani, şifrelemeden önce dosyanın adı "picture.bmp" idiyse, dosya şifrelendikten sonra adı "picture.bmp.WNCRY" olarak değiştirilecektir.

Bir dizindeki tüm dosyalar şifrelendiğinde, fidye yazılımı virüsü aynı dizine birkaç dosya daha yerleştirir, bunlar @ [e-posta korumalı]- dosyaların şifresini çözmek için talimatlar içerir ve @ [e-posta korumalı]- şifreli dosyaların şifre çözücüsü.

Açık son aşama işini, WanaDecryptor virüsü kaldırmaya çalışır gölge kopyalarönceden şifrelenmiş dosyaları kurtarmak için tüm dosyalar ve diğer seçenekler. Bu işlem tam haklar gerektirdiğinden, işletim sistemi UAC hizmetinden bir uyarı görüntüler. Kullanıcı reddederse, dosyaların gölge kopyaları silinmeyecek ve şifrelenmiş dosyaların tamamen ücretsiz olarak tamamen geri yüklenmesi mümkün olacaktır. Bu, Kaspersky Anti-Virus hayran kulübünün forumunda kullanıcılardan gelen birkaç mesajla onaylandı.

WNCRY şifreli dosyalar nasıl kurtarılır?

Daha önce de belirtildiği gibi, WanaDecryptor fidye yazılımı virüsü tarafından şifrelenmiş dosyalarınızı ücretsiz olarak geri almanın tek yolu kullanmaktır. özel programlar ShadowExplorer ve PhotoRec gibi. Bunları kullanma süreci bu kılavuzda ayrıntılı olarak açıklanmaktadır.

Herhangi bir sorunuz varsa veya yardıma ihtiyacınız varsa, oluşturabilirsiniz yeni Konu Forumumuzda veya aşağıya bir yorum bırakın.

Wana Decryptor fidye yazılımı virüsünün bulaşması nasıl önlenir?

Öncelikle, bu makalenin başında bulabileceğiniz bağlantı olan MS17-010 güncellemesini yükleyerek işletim sistemindeki güvenlik açığını kapatmanız gerekir. Güncellemeyi yüklemek mümkün değilse, SMBv1 protokolünün kullanımını devre dışı bırakın (SMBv1 nasıl etkinleştirilir ve devre dışı bırakılır) veya güvenlik duvarındaki 445 numaralı bağlantı noktasından gelen bağlantıları engelleyin.

Tam teşekküllü bilgisayar korumasını organize etmek için en azından ücretsiz antivirüs(bu makaleye bakın) ve bir kötü amaçlı yazılımdan koruma programı (bu makaleye bakın). Zemana Anti-malware veya Malwarebytes kullanmanızı öneririz. Bu programların tam sürümleri, fidye yazılımı virüslerinin başlatılmasını engelleyen ek bir modül de içerir.

Bu kripto fidye yazılımı, kullanıcı verilerini AES ile şifreler ve ardından dosyaları geri almak için BTC olarak 200 dolarlık bir fidye talep eder. Orijinal adı: Cryptre... Dosya diyor ki: veri yok.

© Şecere: >> Şifre

Uzantı şifrelenmiş dosyalara eklenir .şifreli, ancak dosyanın sonuna kadar değil, orijinal ad ile orijinal dosya uzantısı arasında orijinal_dosya_adı kalıbına göre .şifreli.original_file_extension.

Dikkat! Yeni uzantılar, e-posta ve fidye metinleri makalenin sonunda, güncellemelerde bulunabilir. Orijinal sürümle farklılıklar olabilir.

Bu kripto fidye yazılımı 2018 Aralık ayının ortalarında aktifti. İngilizce konuşan kullanıcıları hedef alıyor ve bu da tüm dünyaya yayılmasını engellemez.

Fidye notu kilit ekranıdır:

Fidye metin içeriği:
Dosyalarınız güvenli bir şekilde şifrelendi

Tek yol yapabilirsiniz dosyalarınızı kurtarmak bir şifre çözme anahtarı satın almaktır
Ödeme yöntemi: Bitcoins. Fiyat: 200 $ = 0.05718488 Bitcoin
"Şifre çözme anahtarı satın al" düğmesini tıklayın.

TercümeMetinRusça'ya:
Dosyalarınız güvenli bir şekilde şifrelenir
[Bitcoin satın alın] [Dosyaların şifresini çözün]
[Şifre çözme anahtarı]
Dosyalarınızı kurtarmanın tek yolu bir şifre çözme anahtarı satın almaktır.
Ödeme yöntemi: Bitcoin. Fiyat: 200 $ = 0.05718488 Bitcoin.
düğmesine tıklayın" Şifre çözme anahtarı satın al" .

Teknik detaylar

Korumasız RDP yapılandırmaları, e-posta spam'leri ve kötü niyetli ekler, sahte indirmeler, botnet'ler, açıklardan yararlanmalar, web enjeksiyonları, sahte güncellemeler, yeniden paketlenmiş ve virüslü yükleyiciler yoluyla saldırı yoluyla yayılabilir. Ayrıca giriş blog sayfasındaki "Kripto Fidye Yazılımını Dağıtmanın Ana Yolları"na bakın.

Kapsamlı sınıf antivirüs korumasını ihmal ederseniz internet güvenliği veya Toplam Güvenlik o zaman en azından yap destek olmak yönteme göre önemli dosyalar 3-2-1 .

Dosyaların gölge kopyalarını kaldırır, aşağıdaki komutlarla önyükleme sırasında Windows onarım ve onarım işlevlerini devre dışı bırakır:
Komut satırı >>
vssadmin.exe Gölgeleri Sil / Tümü / Sessiz
bcdedit / set (varsayılan) kurtarma etkin Hayır
bcdedit / set (varsayılan) bootstatuspolicy yoksayma

Şifrelenmiş dosya uzantılarının listesi:
Bunlar MS Office belgeleri, OpenOffice, PDF, metin dosyaları, veritabanları, fotoğraflar, müzik, videolar, görüntü dosyaları, arşivler vb.

Bu Fidye Yazılımı ile ilgili dosyalar:
Windows Update.exe
.exe - rastgele ad

Konumlar:
\ Masaüstü \ ->
\ Kullanıcı_klasörleri \ ->
\% TEMP% \ ->

Bu Fidye Yazılımı ile ilişkili kayıt defteri girdileri:

Ağ bağlantıları ve bağlantıları:
Diğer adresler ve kişiler için güncellemelerde aşağıya bakın.
Test sonuçları için aşağıya bakın.

Test sonuçları:
Ⓗ Hibrit analiz >>
𝚺

Yeni Fidye yazılımı virüsü istiyorum Kullanıcı verileri yerine şifrelenmiş .wncry dosyaları bırakan Cry veya WanaDecryptor 2.0, interneti sallıyor. Dünya çapında yüz binlerce bilgisayar ve dizüstü bilgisayar etkileniyor. Sadece sıradan kullanıcılar değil, aynı zamanda Sberbank, Rostelecom, Beeline, Megafon, Rus Demiryolları ve hatta Rusya İçişleri Bakanlığı gibi büyük şirketlerin ağları da etkilendi.

Fidye yazılımı virüsünün bu kadar büyük bir şekilde yayılması, Windows ailesinin işletim sistemlerinde ABD istihbarat servislerinden gelen belgelerle gizliliği kaldırılan yeni güvenlik açıklarının kullanılmasıyla sağlandı.

WanaDecryptor, Wanna Cry, WanaCrypt veya Wana Decryptor - hangi isim doğru?

Küresel ağdaki virüs saldırısı başladığında, kimse yeni enfeksiyonun tam olarak nasıl adlandırıldığını bilmiyordu. İlk başta o çağrıldı Wana decrypt0r masaüstünde görünen mesaj penceresinin adıyla. Biraz sonra, fidye yazılımında yeni bir değişiklik ortaya çıktı - Şifre Çözmek İstiyor 2.0... Ancak yine, bu, kullanıcıya bir şifre çözücü anahtarı satan bir fidye yazılımı penceresidir ve teorik olarak kurbanın gerekli miktarı dolandırıcılara aktardıktan sonra gelmesi gerekir. Virüsün kendisi, ortaya çıktığı gibi, denir Ağlamak istiyor(Banyo Kenarı).
İnternette hala farklı isimlerini bulabilirsiniz. Ve genellikle "o" harfi yerine kullanıcılar "0" sayısını koyar ve bunun tersi de geçerlidir. WanaDecryptor ve Wana Decryptor veya WannaCry ve Wanna Cry gibi boşluklarla yapılan çeşitli manipülasyonlar da çok fazla kafa karışıklığı yaratır.

WanaDecryptor fidye yazılımı nasıl çalışır?

Bu fidye yazılımının çalışma prensibi, karşılaştığımız önceki fidye yazılımı virüslerinden temel olarak farklıdır. Daha önce ise, enfeksiyonun bilgisayarda çalışmaya başlaması için önce onu başlatmak gerekiyordu. Yani, kulaklı bir kullanıcı, kurnaz bir eki olan posta yoluyla bir mektup aldı - belge olarak gizlenmiş bir komut dosyası. Kişi yürütülebilir dosyayı başlattı ve böylece işletim sisteminin enfeksiyonunu etkinleştirdi. Bath Edge virüsü farklı bir şekilde çalışır. Kullanıcıyı kandırmaya çalışmasına gerek yoktur, 445 numaralı bağlantı noktasını kullanarak SMBv1 dosya paylaşım hizmetinde kritik bir güvenlik açığına sahip olması yeterlidir. Bu arada, bu güvenlik açığı, wikileaks web sitesinde yayınlanan Amerikan özel servislerinin arşivlerinden alınan bilgiler sayesinde kullanıma sunuldu.
WannaCrypt, kurbanın bilgisayarına girdikten sonra, çok güçlü algoritmasıyla dosyaları toplu olarak şifrelemeye başlar. Aşağıdaki biçimler esas olarak etkilenir:

anahtar, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, jar, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, orta, djvu, svg, psd, nef, tiff, tif, cgm, ham, gif, png, bmp, jpg, jpeg, vcd, iso, yedekleme, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, mesaj, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Şifrelenmiş dosyanın uzantısı olarak değiştirilir .wncry... Fidye yazılımı virüsü, her klasöre iki dosya daha ekleyebilir. Birincisi, Please_Read_Me.txt wncry dosyasının şifresinin nasıl çözüleceğini açıklayan bir talimat, ikincisi ise WanaDecryptor.exe şifre çözücü uygulamasıdır.
Bu kirli numara, bütüne ulaşana kadar sessizce çalışır. HDD, bundan sonra para verme isteği ile bir WanaDecrypt0r 2.0 penceresi görüntüleyecektir. Kullanıcı sonuna kadar tamamlamasına izin vermediyse ve antivirüs şifreleme programını kaldırabildiyse, masaüstünde aşağıdaki mesaj görünecektir:

Yani, kullanıcı bazı dosyalarının zaten virüslü olduğu konusunda uyarılır ve onları geri almak istiyorsanız şifreleyiciyi geri verin. Şimdi! Bunu asla yapmayın, yoksa gerisini kaybedersiniz. Dikkat! WNCRY dosyalarının şifresinin nasıl çözüleceğini kimse bilmiyor. Hoşçakal. Belki daha sonra bir tür şifre çözme aracı görünecektir - bekleyin ve görün.

Wanna Cry Virüs Koruması

Genel olarak, Wanna Decryptor fidye yazılımına karşı koruma sağlamak için MS17-010 Microsoft yaması 12 Mayıs'ta piyasaya sürüldü ve eğer hizmet PC'nizdeyse Windows güncellemeleri o zaman iyi çalışıyor
büyük olasılıkla işletim sistemi zaten korunmuştur. Aksi takdirde, cihazınız için bu Microsoft yamasını indirmeniz gerekir. Windows sürümleri ve acilen kurun.
Ardından SMBv1 desteğini tamamen devre dışı bırakmanız önerilir. En azından salgın dalgası azalıp durum sakinleşene kadar. Bu, aşağıdaki komutu girerek Yönetici haklarına sahip komut satırından yapılabilir:

dism / çevrimiçi / norestart / devre dışı bırakma özelliği / özellik adı: SMB1Protocol

Ya panel üzerinden Windows yönetimi... Orada "Programlar ve Özellikler" bölümüne gitmeniz, menüden "Windows özelliklerini aç veya kapat" seçeneğini seçmeniz gerekiyor. Bir pencere görünecektir:

"SMB 1.0 / CIFS dosyalarını paylaşma desteği" öğesini bulun, işaretini kaldırın ve "Tamam" ı tıklayın.

Birdenbire SMBv1 desteğini devre dışı bırakmayla ilgili sorunlar ortaya çıkarsa, Wanacrypt0r 2.0'a karşı koruma sağlamak için diğer yoldan gidebilirsiniz. Sistemde kullanılan güvenlik duvarında 135 ve 445 numaralı bağlantı noktalarını engelleyen bir kural oluşturun. Standart Windows güvenlik duvarı için şunu girin: Komut satırı Takip etmek:

netsh advfirewall güvenlik duvarı ekleme kuralı dir = eylemde = blok protokolü = TCP localport = 135 ad = "Close_TCP-135"
netsh advfirewall güvenlik duvarı ekleme kuralı dir = eylemde = blok protokolü = TCP localport = 445 ad = "Close_TCP-445"

Başka bir seçenek, özel bir ücretsiz uygulama Windows Worms Kapı Temizleyici:

Kurulum gerektirmez ve bir şifreleme virüsünün içine girebileceği sistemdeki boşlukları kolayca kapatmanıza izin verir.

Ve elbette, anti-virüs korumasını da unutmamalıyız. Yalnızca kanıtlanmış antivirüs ürünlerini kullanın - DrWeb, Kaspersky Internet Security, E-SET Nod32. Zaten kurulu bir virüsten koruma yazılımınız varsa, veritabanlarını güncellediğinizden emin olun:

Son olarak size küçük bir tavsiyede bulunacağım. Kaybedilmesi son derece istenmeyen çok önemli verileriniz varsa - bunları çıkarılabilir bir sabit sürücüye kaydedin ve dolaba koyun. En azından salgın süresince. Güvenliklerini bir şekilde garanti etmenin tek yolu budur, çünkü kimse bir sonraki değişikliğin ne olacağını bilmiyor.