Вирус Wana Decryptor, Wana Decrypt0r, Wanna Cry, WNCRY

Эта статья описывает вирус WanaCry, как от него защититься и как его удалить.

Последнее обновление этой статьи: 21 мая 2017 года.

Статья про вирус Петя.

12 мая 2017 произошел небольшой компьютерный армагедец. По всему миру, в России тоже, были заражены десятки тысяч компьютеров под управлением различных версий Windows компьютерным вирусом-шифровальщиком.

Самая худшая из разновидностей зловредных программ. Вирусы-шифровальщики зашифровывают пользовательские файлы - документы, фото и т.д. Конкретно этот вирус шифрует даже базы данных 1С. Конечно, после шифрования такие файлы становятся недоступны. То есть прахом идет все что нажито непосильным трудом.

Спросите у бухгалтера, каково это потерять базу данных 1С?

Дальше владельцы такого вируса-шифровальщика начинают вымогать деньги, за расшифровку файлов. Однако нет никакой гарантии, что после оплаты они действительно расшифруют файлы.

Но теперь собственно о вирусе, который устроил такой переполох в мире. Его называют по разному - Wana Decryptor, Wana Crypt0r, Wana Decrypt0r, Wanna Cry, WNCRY, trojan.encoder.11432 (доктор Вэб), Win32:WanaCry-A [Trj] (Avast), Trojan-Ransom.Win32.Wanna.m (Kaspersky), Ransom:Win32/WannaCrypt (Защитник Windows) и так далее.

Симптоматика:

• Красное окно приложения, в котором написано, что файлы зашифрованы и нужно заплатить 300 долларов через Биткойн.
• Все пользовательские файлы имеют расширение WNCRY и не открываются в программах.

• В различных папках лежат файлы @WanaDecryptor@.exe и @Please_Read_Me@.txt

Как вирус @WanaDecryptor@.exe заражает компьютеры?

Точно так же как это было лет 10-12 назад с группой вирусов, которые использовали, через сеть, уязвимость Windows XP (тогда это была уязвимость в механизме RPC). Сейчас это уязвимость в протоколе SMB версии 1.

Работает это следующим образом. На зараженном компьютере, запускается сканер портов и этот сканер ищет компьютеры на которых открыт TCP порт 445 (порт протокола SMB). Когда такой компьютер найден, вирус подключается к нему через этот порт посылает туда специальный пакет данных, который вызывает ошибку в работе Windows. В результате такой ошибки на этом компьютере можно выполнить зловредный код (загрузку и запуск вируса), причем этот код будет выполнен внутри легального процесса Windows и антивирусная программа не сможет его обнаружить и заблокировать. Собственно поэтому и случилась эпидемия таких масштабов - антивирусы не могли "увидеть" момент атаки. Дополнительная сложность для антивирусов была в том, что свои вредоносные действия WanaCry выполнял используя стандартные приложения Windows.

Дальше запущенный вирус шифрует файлы на этом компьютере. А также ищет новые компьютеры для заражения.

Какие компьютеры могут быть заражены вирусом WNCRY?

• На компьютере должна работать Windows (любая версия, начиная с XP).
• Компьютер должен быть подключен к локальной сети или к Интернет. Подключение к Интернет должно быть прямое (без роутера или шлюза). В том числе без шлюза провайдера. То есть с так называемым "белым" IP-адресом. Это такой IP-адрес который доступен в Интернет.

Такое прямое подключение дают многие провайдеры Интернет, которые предоставляют проводной доступ через оптоволокно (FTTB, FTTH), Ethernet или ADSL. Если сетевой кабель провайдера подключается к роутеру пользователя, а уже к роутеру подключен компьютер,  тогда волноваться не нужно. Роутер не пропустит атаку на компьютер(ы). Конечно в том случае если на роутере кто-то не сделал проброс порта 445. Но по умолчанию роутеры не пропускают никакие входящие подключения.

Однако если сетевой кабель провайдера воткнут прямо в компьютер это уже может быть опасно. Тут уже все зависит от конфигурации сети провайдера. Если в ней разрешены входящие подключения тогда компьютер будет атакован из Интернет.

Точно так же есть возможность заражения если роутер в наличии, но он настроен в режиме Моста (Bridge). Таким образом часто настраивают ADSL роутеры.

Как защититься от WanaDecryptor WNCRY?

Прмечание. Если ваша Windows уже заражена, вначале нужно удалить вирус. Об этом ниже в этой статье.

Самое простое и быстрое что можно сделать это редактирование реестра - нужно отключить использование протокола SMB версии 1.

В консоли (Командная строка) выполнить такую команду:

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t reg_dword /d 0 /f

Или через regedit в реестре добавить параметр в ключи реестра:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - тип DWORD, имя SMB1, значение 0.

После этого перезагрузите Windows.

Кроме этого, если ваш компьютер не используется в локальной сети, можно в файерволл добавить правило, которое запрещает входящие подключения на TCP порт 445. Учтите, что для локальной сети это делать нельзя - при закрытии этого порта, к компьютеру нельзя будет подключиться через сеть!

Добавить блокировку можно через консоль (Командная строка):

netsh advfirewall firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"

для Windows XP:

netsh firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"

или через Панель Управления - Брандмауэр Windows.

Далее нужно скачать и установить обновление для Windows, которое ликвидирует эту уязвимость. На сайте Microsoft есть список обновлений для всех версий Windows кроме XP: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Обновление для Windows XP: https://www.microsoft.com/ru-RU/download/details.aspx?id=55245

Если на вашей Windows включено автоматическое обновление, тогда скорее всего это обновление уже установлено у вас. Оно было выпущено еще в марте этого года.

Проверить можно через консоль (Командная строка):

wmic qfe list | findstr 4012212

или

dism /online /get-packages | findstr KB4012212

4012212 это номер обновления для Windows 7. Для Windows XP, Vista, 8 и 10 номер другой, смотрите номера на странице ms17-010.aspx!

Или через Панель управления - Установка и удаление программ. В списке программ нужно включить опцию показа обновлений.

Дополнительная мера защиты. Если у вас есть выделенный раздел с данными, который не используется активно, этот раздел можно отмонтировать. Чтобы он не был виден в системе. Это можно сделать через Панель Управления - Администрирование - Управление дисками. И там, для нужного раздела удалить букву диска. Не сам раздел, а присвоенную ему букву!

Насколько известно об этом вирусе, он не обрабатывает отмонтированные разделы.

В сети уже появился онлайн-сервис для проверки уязвимости: http://www.ms17-10.com/

Там нужно вести IP-адрес вашего компьютера и сервис проверит, если у вас эта уязвимость.

Как удалить Wana Decrypt0r?

Если вы совсем не разбираетесь в компьютерах, тогда выключите компьютер и вызывайте специалиста.

Если разбираетесь, тогда вот здесь описан процесс удаления вируса Wana Decrypt0r при помощи программы AVZ:

https://virusinfo.info/showthread.php?t=211951

Можно проще сделать - скачать и запустить Drweb Cureit: https://free.drweb.ru/cureit/

Еще один вариант, удаление вручную. Загрузиться с флешки или DVD в другую ОС, например Linux или MS DaRT. Затем открыть системный раздел зараженной Windows, найти там файлы tasksche.exe,  mssecsvc.exe, @WanaDecryptor@.exe и удалить их. Затем загрузиться в Windows и удалить из реестра запуск этих файлов.

• Файлы @WanaDecryptor@.exe могут быть разбросаны по всем локальным дискам и папкам где есть файлы.
• Файлы tasksche.exe,  mssecsvc.exe будут в папке \Windows\ и в папке с произвольным именем в папке \ProgramData\ - из этой папки запускает процесс в виде Службы Windows (раздел реестра  Services). Служба "mssecsvc".
• Записи в реестре будут в ключах Run и Services (mssecsvc).

Перед началом лечения нужно отключить компьютер от локальной сети (или Интернет). Или заблокировать порт 445. Для того, чтобы исключить повторное заражение!

После удаления вируса нужно установить обновление!

Восстановление зашифрованных файлов

Пока никто этого сделать не может (на 15 мая).

Вирус, после шифрования файла, удаляет оригинал. Так что можно попробовать восстановить удаленные файлы при помощи программ типа PhotoRec, Recuva, R-Studio и т.п.

Шансы на восстановление зависят от того, как быстро был выключен компьютер, сколько было свободного места на диске на момент заражения и шифрования файлов. А также от количества файлов.

Не забывайте, что восстановление (запись восстановленных файлов) нужно делать на другой носитель! А не на тот же, где находились удаленные файлы. Это важно для повышения шансов на восстановление.

Но прежде всего я советую скопировать все зашифрованные файлы на другой носитель (диск, раздел). Возможно, через какое-то время появится расшифровщик.

Клоны, подражатели и попутчики

Уже есть несколько клонов вируса @WanaDecryptor@. Такие как например DarkoderCrypt0r.

Кроме того, стал известен еще как минимум один вирус, который работает точно так же, но выполняет другую конечную задачу - Adylkuzz. Этот зловред появился даже раньше, но оказался незамечен, потому, что он не выполняет на зараженном компьютере заметных для пользователя действий.

Вирус Adylkuzz это скрытная вредоносная программа, так называемый "бэкдор". Такие программы используются для управления зараженным компьютером. На сегодняшний день неизвестно количество пораженных этим вирусом компьютеров. По той причине, что Adylkuzz, в отличии от Wana Decrypt0r, незаметен для пользователя компьютера. Он включает пораженный компьютер в ботовую сеть криптовалюты Monero.

Проверка на Adylkuzz:

• На зараженной Windows должен быть файлы mciexev.exe и winsec.exe в папке \Windows\security.
• Exe-файл с произвольным именем в папке C:\Windows\TEMP
• Файл \Program Files\Hardware Driver Management\windriver.exe и разрешающее правило брандмауэр Windows для этого файла.
• Файл \Program Files\Google\Chrome\Application\chrome.txt и разрешающее правило брандмауэр Windows для этого файла.
• Запрещающее правило брандмауэр Windows для TCP порта 445.

Визуальная симптоматика:

• Замедление работы, связанное с высокой нагрузкой на процессор.
• "Отключение" локальной сети - компьютер недоступен по локальной сети. Из-за блокировки TCP порта 445.

Похожие статьи

Как вирусы заражают компьютеры

P.S.

Эта история хороший повод напомнить о том, насколько важно делать запасные копии данных.

Иван Сухов, 2017 г.