WannaCry jest odmianą ransomware o którym zrobiło się głośno na światowych serwisach poświęconych bezpieczeństwu. Ta nagła uwaga ma swój powód. W ciągu ostatnich kilku dni ofiarą ataku padło wiele dużych korporacji w Europie i epidemia wciąż się rozprzestrzenia. Trojan ten szyfruje dane swych ofiar, które otrzymują rozszerzenie .WNCRY.
Wirus .WNCRY, który manifestuje się również jako Wana Decrypt0r 2.0, stanowi stosunkowo nową generację kryptograficznych zagrożeń. Z pozoru wygląda jak jego poprzednik o nazwie WCRY lub WannaDecryptor 1.0. Twórcom najnowszego ataku zajęło nieco ponad miesiąc, aby wydać zaktualizowaną wersję wirusa. Najnowsza wersja okazała się o wiele bardziej rozbudowana i stabilna w zakresie sposobu rozprzestrzeniania się, mechanizmu szyfrowania i technik wymuszania. Szybkość rozprzestrzeniania się jest bezprecedensowa – według doniesień, zainfekowanych zostało 57 tys. komputerów w ciągu zaledwie kilku godzin w dniu 12 maja 2017 r.
Wana Decrypt0r 2.0
Identyfikacja tego wirusa jest dość prosta. Po zakończonej infekcji na komputerze pojawia się nowe tło pulpitu z komunikatem ostrzegawczym. Ponadto pojawia się ekran zatytułowany Wana Decrypt0r 2.0, zawierający szczegółowe informacje na temat tego co się stało i pokazujący ilość czasu, w ciągu którego należy zapłacić okup. Wśród podanych informacji znajduje się również kwota okupu, czyli równowartość 300 USD w walucie Bitcoin, a także adres Bitcoin pod który należy wysłać pieniądze. Kolejnym wyraźnym znakiem rozpoznawczym ataku jest nowe rozszerzenie plików dodane do zaszyfrowanych danych. Lista możliwych rozszerzeń obejmuje .WNCRY, .WCRY, .WNRY i .WNCRYPT. Pierwsze z nich, .WNCRY, jest najczęściej spotykane w tym ataku ransomware. Oryginalne nazwy plików pozostają niezmienione, stąd ofiary stoją w obliczu przykładowej transformacji pliku: Wykres.xlsx – Wykres.xlsx.WNCRY.
@Please_Read_Me@.txt
Ransomware WannaCry pozostawia również informacje o okupie w formie zwykłego pliku tekstowego, dzięki czemu każda ofiara znajdzie instrukcje jak odszyfrować pliki. Jego nazwa to @Please_Read_Me@.txt. Zawarte w nim informacje sformułowane są nieco inaczej niż w pojawiającym się na ekranie oknie. Brzmią one: „What’s wrong with my files? Oooops, your important files are encrypted…” Mówiąc krótko, metoda odzyskania danych sugerowana przez oszustów polega na zapłaceniu przez ofiarę okupu o wartości 300 USD w walucie Bitcoin, a następnie uruchomieniu aplikacji o nazwie @wanadecryptor@.exe, która została umieszczona na komputerze w ramach ataku.
WannaCry tapeta pulpitu
Aby zabezpieczyć się przed usunięciem, wirus WannaCry wyświetla kilka wskazówek na tapecie pulpitu. Są to instrukcje w przypadku, gdy antywirus ofiary usunął narzędzie Wana Decrypt0ra. Komunikat na pulpicie podpowiada, jak ponownie uruchomić złośliwy plik wykonywalny, aby można było kontynuować odszyfrowywanie za pomocą okupu. Podsumowując, atak wydaje się być dobrze przemyślany, co sugeruje, że stoją za nim doświadczeni w technikach wyłudzania cyberprzestępncy. Skomplikowana pod względem technicznym dystrybucja za pośrednictwem protokołu RDP stanowi kolejny dowód na to, że przestępcy nie są nowicjuszami w tym, co robią. Tak więc branża antywirusowa stoi w obliczu kolejnego zręcznego przeciwnika i miejmy nadzieję, że w niedługim czasie uda im się opracować metodę jego unieszkodliwienia.
W międzyczasie WannaCry wciąż infekuje na dużą skalę organizacje oraz użytkowników. Wśród ofiar znajduje się m.in. hiszpański dostawca usług telekomunikacyjnych oraz kilka brytyjskich instytucji opieki zdrowotnej. Oczywiście najlepszą obroną stanowi unikanie zostania zainfekowanym. Jeśli jednak to nastąpiło, poniższe instrukcje stanowią punkt startowy rozwiązania tej sytuacji.
Usunięcie tego szkodnika może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Wykorzystanie techniki automatycznego czyszczenia zapewnia, że wszystkie elementy zakażenia zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus WannaCry tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Można tutaj wykorzystać narzędzia, takie jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usuwania wirusa, ale w każdym razie warto jest wypróbować tą metodę.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Metodę można zastosować, jeśli utworzone zostały kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to Twoja przezorność się opłacała.
Rozwiązanie 3: Użyj Kopiowania Woluminów w Tle
Jeśli nie wiedziałeś, to system operacyjny tworzy tzw. Kopiowanie Woluminów w Tle każdego pliku dopóki opcja Przywracanie Systemu (System Restore) jest włączona na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, generowane są również migawki plików, które pojawiają się w tej samej chwili. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji plików. Na pewno jednak warto jest spróbować. Ten obieg jest wykonalny na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się manualnemu procesowi.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Ponownie, samo usunięcie złośliwego oprogramowania nie prowadzi do zdeszyfrowania plików osobistych. Powyższe metody przywracania danych, mogą lub nie załatwić sprawę, ale samo ransomware nie znajduje się już wewnątrz Twojego komputera. Nawiasem mówiąc, wirus pojawia się z innym złośliwym oprogramowaniem, dlatego na pewno sensowne jest wielokrotne zeskanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania ransomware WannaCry
zostałam wczoraj zainfekowana tym wirusem i chce mi się płakać bo straciłam wszystkie filmy, zdjęcia i pliki ważne dla mnie,wszystkie posiadają rozszerzenie WNCRY i nie potrafię tego zmienić, nie ma jak system pokazuje wcześniejszych wersji a i punkt przywracania systemu zniknął wcześniejszy jaki był, przestrzegam przed tym gównem!!