Як видалити Wana Decrypt0r і відновити файли WNCRY
- Як видалити Wana Decryptor з комп'ютера
- Крок 1. Закрийте 445 інтернет порт
- Крок 2. Запуск систему в безпечному режимі
- Крок 3. Перейдіть всі приховані файли і папки
- Крок 4. Видаліть файли вірусу
- Крок 5. Очистіть реєстр (для досвідчених користувачів)
- Крок 7. Оновлення Windows
- Як відновити пошкоджені файли
Wana Decryptor 2.0 це нова версія вірусу WannaCry, який використовує уразливість Windows і заражає комп'ютер користувача без будь-якої видимої активності. Після проникнення комп'ютера жертва побачить заставку, яка нагадує йому, що файли були зашифровані. Крім того, з'являється спливаюче вікно з інформацією про вірус. Ми постараємося відповісти на наступні питання: як видалити Wana Decrypt0r і відновити зашифровані дані з розширенням WNCRY.
Вірус може потрапити на ваш комп'ютер за допомогою шкідливих доповнень в електронній пошті або через 445-й інтернет-порт через уразливості операційної системи, після чого відразу починає шифрувати інформацію. Якщо антивірусу не вдалося зловити вірус і той проник в систему, всі ваші файли з інформацією будуть зашифровані. Це відноситься до текстових файлів txt, doc, docx, а також різним зображенням. Wana Decrypt0r кодує всі типи файлів, включаючи відео, текст, зображення та аудіо. Кодування займає від п'яти хвилин до декількох годин. Швидкість кодування може варіюватися в залежності від ємності комп'ютера і кількості інформації, що зберігається на ньому інформації. Сума платежу становить 300 доларів США, і якщо ви не заплатите за три дні, сума буде подвоєна. Через 7 днів злочинці погрожують видалити всі файли.
Більшість вимагачів застосовують надзвичайно складні алгоритми шифрування, такі як AES-128 і RSA-2048, які використовуються для захисту інформації цілих країн, секретних служб і великих корпорацій. Wana Decrypt0r не є винятком. Це означає, що у вас є тільки один абсолютно надійний метод відновлення файлів: використовувати резервну копію. Можливо, через деякий час буде зроблений розшифровщик рупнимі антивірусними компаніями, в приватність Emsisoft і Kaspersky випускають декріптор для різних шифрувальників. Поки відсутність резервних копій означає, що ви можете забути про свої файлах, тому що ви не можете бути впевнені, що хакери, які вкрали ваші файли, не обдурять вас ще раз, коли платіж буде отриманий. Ваші дані можуть бути відновлені декількома способами, і хоч вони не є абсолютно ефективними ми розповімо про них.
Відновлення файлів - головна мета, про яку вам доведеться турбуватиметься, якщо ваші файли були заражені за допомогою шифрувального вірусу. Але тим не менш, перш ніж відновлювати файли, необхідно видалити вірус з комп'ютера для захисту нових файлів. Неважливо, який метод відновлення ви виберете, вам все одно доведеться усунути Wana Decrypt0r. Використовуючи дешифрування або завантаження резервних копій, ви повинні видалити Wana Decrypt0r, і навіть якщо ви вважаєте за краще заплатити цим злочинцям - Wana Decrypt0r необхідно видалити до повного відновлення даних.
Як видалити Wana Decryptor з комп'ютера
Крок 1. Закрийте 445 інтернет порт
Запустіть командний рядок.
- натисніть Пуск
- Надрукуйте Cmd, клацніть правою клавішею і виберіть Запустити від імені адміністратора
- Надрукуйте Netsh advfirewall firewall add rule dir = in action = block protocol = tcp localport = 445 name = "Block_TCP-445"
- натисніть Enter
Крок 2. Запуск систему в безпечному режимі
- Натисніть «Пуск»
- Введіть Msconfig і натисніть «Enter»
- Виберіть вкладку «Завантаження»
- Виберіть «Безпечне завантаження» і натисніть OK
Крок 3. Перейдіть всі приховані файли і папки
- Натисніть «Пуск»
- Виберіть «Панель управління»
- Виберіть «Оформлення та персоналізація»
- Натисніть на «Параметри папок»
- Перейдіть у вкладку «Вид»
- Виберіть «Показувати приховані файли, папки і диски»
Крок 4. Видаліть файли вірусу
Перевірте наступні папки на предмет наявності в них файлів вірусу:
- % TEMP%
- % APPDATA%
- % ProgramData%
Крок 5. Очистіть реєстр (для досвідчених користувачів)
- Натисніть «Пуск»
- Введіть «Regedit.exe» і натисніть «Enter»
- Перевірте папки автозапуску на наявність підозрілих записів:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit
- Аналогічно для папки HKEY_CURRENT_USER
- Видаліть з цих папок шкідливі файли
Крок 6. Відскануте систему за допомогою антивірусу
Можна використовувати різні антивірусні утиліти, такі як Dr Web CureIt, Kaspersky Removal tool або інші. Після цього відключіть безпечний режим.
Крок 7. Оновлення Windows
Це дуже важливий крок, який може допомогти вам запобігти появі нової інфекції! Необхідно завантажити хоча б оновлення MS17-010, в якому якраз була усунена уразливість Windows, якою скористалися хакери. Як виняток, це оновлення доступно навіть для Windows XP, підтримка якої офіційно завершена.
Пакет оновлень для різних версій Windows (необхідно в списку вибрати свою операційну систему):
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Завантажити оновлення для Window XP можна за наступним посиланням:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Як відновити пошкоджені файли
Якщо ви не перезавантажували систему після шифрування файлів, вам зможуть допомогти наступні дешифратори:
Для Windows XP: https://github.com/aguinet/wannakey
Для Windows XP, Windows 7, Vista, 2003 and 2008 server: https://github.com/gentilkiwi/wanakiwi/releases
На жаль, дешифратори працюють не в 100% випадків.
У цьому керівництві ми кілька разів говорили, що користувач, чия система була атакована щіфровальщіком, має тільки один сто відсотковий ефективний метод відновлення даних: завантаження резервних копій. Ви повинні спробувати інші способи, якщо у вас немає вибору, але будьте готові, що вони можуть зазнати невдачі. Додатковою перевагою резервних копій є те, що вони зберігаються на додатковому накопичувачі і в такому випадку невразливі вірусу.
Всі інші способи залежать від вбудованих сервісів Windows, і їх ефективність може бути знижена складністю здирників і відсутністю навичок. У всякому разі, крім резервних копій і виплати викупу є два додаткових способу відновлення ваших файлів. Це служба тіньового копіювання томів і декодування за допомогою спеціальної програми дешифрування. Декодування з використанням спеціального дешифратора досить ефективно, але, на жаль, цього інструменту ще не існує. Новини про прогрес в розробці такої програми можна знайти на сайтах Лабораторії Касперського, MalwareHunterTeam і EmsiSoft. Відновлення вручну за допомогою тіньових копій може бути виконано без будь-якої підготовки. Ви можете використовувати базові функції ОС Windows, але ми пропонуємо вам більш зручні програми, які значно спростять ваше завдання. Ці програми повністю безкоштовні, і вони були зроблені надійними розробниками. Вони називаються ShadowExplorer і Recuva, і ви можете знайти більше інформації на офіційних сайтах.
- Натисніть «Пуск»
- Виберіть «Панель управління»
- Натисніть «Система і безпека»
- Виберіть «Архівація та відновлення»
- Виберіть «Відновлення файлів з архіву»
- Виберіть точку збереження
Стаття-джерело: Wana Decryptor removal and decryption