Wana Decrypt0r 2.0 .WNCRY File Virus (Restore Files) Opdatering juni 2017

Wana Decrypt0r 2.0 .WNCRY File Virus (Restore Files)

Denne artikel er oprettet for at hjælpe dig med at fjerne den .WNCRY Wana Decrypt0r 2.0 ransomware infektion (ny WannaCry variant) og gendanne filer krypteret med den .WNCRY filtypenavn.

En ny ransomware, kaldet Wana Decrypt0r 2.0 af malware jægere er blevet rapporteret til at kryptere filer på computerne inficeret med det. Den ransomware virus bruger .WNCRY fil udvidelse og det er dybest set rapporteret at være en ny version af WannaCry Også kendt som WCry familie af ransomware virus. Infektionen falder en løsesum note, navngivet @ Please_Read_Me @ txt og ændrer tapet samt tilføjer software med instruktioner til at betale løsesum. Hvis du er blevet et offer for denne ransomware infektion, Vi anbefaler stærkt at læse følgende artikel grundigt.

Trussel Summary

Navn

.WNCRY

TypeRansomware
Kort beskrivelseNy May 2017 version af WannaCry ransomware virus. Krypterer filer og derefter kræver ofre til at betale en heftig løsesum gebyr for at genoprette de krypterede filer.

SymptomerFilerne krypteres med udvidelse af .WNCRY fil føjet til dem. Ud over dette en løsesum note tilsættes, opkaldt @ Please_Read_Me @ .txt. tilføjer også en lockscreen, med navnet ”Wana Decrypt0r 2.0”.
DistributionsmetodeVia en Exploit kit, DLL-fil angreb, ondsindet JavaScript eller en drive-by download af selve malware på en korrumperet måde.
Værktøj Detection Se Hvis dit system er blevet påvirket af .WNCRY

Hent

Værktøj til fjernelse af malware

BrugererfaringTilmeld dig vores forum til Diskuter .WNCRY.
Data Recovery ToolWindows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet.

opdateringen fra november 2017! WannaCry er holdt op med at inficere siden malware forsker, kendt som @malwareTechBlog har fundet en kill-switch til det. Den dårlige nyhed er, at det økonomiske tab forårsaget af denne virus stadig fortsætter med at stige i størrelsesorden.

.WNCRY virus – Hvordan virker det Spred

Svarer til den foregående .wcry variant , denne ransomware iteration kan også bruge de samme metoder til at sprede. De er forbundet med brugen af ​​forskellige typer af værktøjer, der anvendes specifikt til at distribuere ondsindede filer og URL'er uden at blive opdaget:

  • Den ETERNALBLUE og DOUBLEPULSARE Udnytter lækket af de ShadowBrokers i en læk, kaldet “Tabt i oversættelsen” der skete tilbage i april 2017
  • spamming software (spam bots, crawlere, etc)
  • Pre-konfigurerede liste over e-mail-adresser på potentielle ofre, som spam-mail kan sendes.
  • Formidler malware til udførelse af infektion.
  • Et sæt af C2-servere og distributionsomkostninger domæner for kommando og kontrol og downloade .WNCRY fil virus’ nyttelast.

Selvom WanaCrypt0r 2.0 ransomware kan spredes via torrent hjemmesider, falske opdateringer eller andre falske opsætninger og eksekverbare uploadet på lyssky hots, viruset primære metode til spredning kan være via overbevisende skabt emails. Sådanne e-mails til formål at få ofrene til at klikke på et ondsindet e-mail-vedhæftning og dermed blive smittet med den .WNCRY fil virus.

De vedhæftede filer kan som regel være .js, .exe eller anden form for eksekverbare filer, men i nogle situationer er de også relateret til ondsindede makroer. Disse ondsindede makroer kan aktiveres, når brugeren aktiverer indholdet på et dokument. Her er, hvordan denne infektion proces gennemføres:

De første infektioner af Wana Decrypt0r 2.0 har været i Tyskland, Rusland, Taiwan, Tyrkiet, Kasakhstan, Indonesien, Vietnam, Japan, Spanien, Ukraine og Filippinerne. Men det lande tal kan stige meget hurtigt snart, da dette mønster viser globale fordeling kampagne.

.WNCRY Fil Virus Hvordan virker det

Hovedaktiviteten af ​​Wana Decrypt0r 2.0 ransomware virus efter infektion er at droppe en indlejret fil i den mappe, hvor infektionen filen er placeret. Filen er en password beskyttet .zip, opkaldt wcry.zip. Det har følgende indhold:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

Den Wana Decrypt0r 2.0 ransomware s infektion fil vil derefter udtrække disse zip-filer i en mappe og begynder at forbinde til download webside TOR webbrowser. Derfra, den .Wana Decrypt0r 2.0 virus kan forbinde til flere kommando og kontrol-servere:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Derefter, Wana Decrypt0r 2.0 forbereder til kryptering vitale offer filer. For at gøre dette, det kører en administrativ kommando i Windows for at opnå administratorrettigheder funktioner:

→ icacls . /give alle:F / T / C / Q

Derefter, den Wana Decrypt0r 2.0 virus lukker følgende Windows System processer fra Task Manager:

→ Mysqld.exe
Sqlwriter.exe
Sqlserver.exe
MSExchange
Microsoft.Exchange

Nyttelasten kan bestå af flere forskellige typer af filer. Nogle af disse filer kan ændre Windows Registreringseditor og målrette de følgende sub-nøgler:

→ HKCU Software Microsoft Windows CurrentVersion Run
HKCU Software WanaCrypt0r
HKCUSoftwareWanaCrypt0rwd
HKCU Control Panel Desktop Wallpaper

I disse nøgler, brugerdefinerede værdistrenge med data i dem kan være input, så det er muligt for ransomware at køre ved system start og begynde at kryptere filer på boot.

Ud over den aktivitet WanaCrypt0r .WNCRY infektion kan være at slette skyggen volumen eksemplarer og udrydde alle chancer for at vende tilbage dine filer via backup på den inficerede computer. Dette gøres ved at udføre følgende administrative Windows-kommandoer:

→ vssadmin slette skygger / alle / quiet
wmic shadowcopy slette
Bcdedit / sæt boostatuspolicy ignoreallfailures
bcdedit / sæt {misligholdelse} recoveryenabled nej & wbadmin slette katalog quiet

Ud over denne aktivitet, WannaCry .WNCRY virus falder også et program, navngivet @ WanaDecryptor @ Exe der har et virkeligt timer med avancerede instruktioner om, hvordan at betale løsesummen. Dette program kaldes ”Wana Decrypt0r 2.0”, og det er budskab ligner følgende:

Efter timeren på dette program løber ud udgifterne til løsesum payoff kan fordoble, i henhold til de scareware beskeder og den tidligere version, også bruge denne software.

En anden handling programmet gør, er, at det også ændrer tapet på ofrets computer med følgende meddelelse:

Ooops, dine vigtige filer er krypteret.
Hvis du ser denne tekst, men kan ikke se den ”Wana Decrypt0r” vindue,
så vil din antivirus fjernede dekryptere software eller du har slettet det fra din computer.
Hvis du har brug for dine filer, du er nødt til at køre dekryptere software.
Du kan finde et program fil med navnet “@ WanaDecryptor @ Exe” i en mappe eller gendanne fra antivirus karantæne.
Kør og følg instruktionerne!

.WNCRY Fil Virus - Kryptering Proces

To krypteringsalgoritmer kan anvendes til dette specifikke ransomware infektion. En af dem er kendt som AES (Advanced Encryption Standard) og kan anvendes i 128-bit af styrke. Det er en af ​​de stærkeste ciphers og kan ikke dekrypteres, medmindre de kriminelle laver en fejl i den kryptering kode. Det kan generere en symmetrisk nøgle, kaldet FEK tasten efter kryptering. Denne nøgle kan være den eneste metode til at dekryptere filerne, fordi med den kan vendes processen.

Ud over dette, en anden cipher kendt som Rivers-Shamir-Adleman eller RSA bruges også i kombination med AES cipher for at generere unikke offentlige og private nøgler til hver af filerne. Dette gør dekryptering af hver fil separat og meget vanskelig og unik proces.

For krypteringsprocessen, de .WNCRY virus mål filer, der bruges meget. Disse filer er som regel følgende:

→ .LDF, .SLN, .hans, .cpp, .ikke, .ASM, .cmd, .flagermus, .VBS, .dip, .dch, .sch, .Brda, .jsp, .php, .klasse, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .ASF, .avi, .mov, .mkv, .flv, .wma, .mid, .DjVu, .svg, .PSD, .kirkeskibet, .tiff, .tif, .CGM, .rå, .gif, .png, .bmp, .jpg, .jpeg, .VCD, .iso, .backup, .zip, .rar, .tgz, .tager, .bag, .Tbk, .PAQ, .BUE, .aes, .gpg, .VMX, .VMDK, .VDI, .sldm, .sldx, .STI, .hun, .tuck, .cent, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .VSD, .edb, .Svar, .OTP, .SXD, .std, .generelt, .svar, .OTG, .SXM, .MML, .lægge, .lay6, .ASC, .sqlite3, .sqlitedb, .sql, .accdb, .CIS, .dbf, .ODB, .frm, .verden, .solgt, .IBD, .mdf, .msg, .ost, .pst, .veje, .potx .eml, .den, .pfx, .nøgle, .crt, .csr, .PEM, .odt, .der, .sxw, .STW, .uot, .max, .afsnit, .oTS, .SXC, .stc, .dif, .ch, .asp, .java, .PPAM, .ppsx, .PPSM, .pps, .gryde, .pptm, .pptx, .ppt, .xltm, .xltx, .XLC, .XLM, .XLT, .xlw, .xlsb, .xlsm, .XLSX, .xls, .dotx, .dotm, .punktum, .docm, .docb, .docx, .doc, .krukke

Efter krypteringen sker, den .WNCRY virus kan sende dekrypteringsnøgle til cyber-kriminelle, så de kan oprette en brugerdefineret Decrypter til offeret, som vil blive sendt tilbage til ham, når løsesummen er betalt. Betale løsesum, dog er stærkt frarådet.

Filerne har en ekstra .WNCRY fil udvidelse til dem, som er unik for infektion. Filerne kan vises som følgende og kan ikke åbnes med enhver software:

Fjern WanaCrypt0r 2.0 og gendannelse .WNCRY krypterede filer

For at fjerne .WNCRY ransomware, Vi opfordrer dig til at sikkerhedskopiere dine filer først ved at skabe kopier af dem, og derefter at gå videre med fjernelsen. En metode til at fjerne det, hvis du følger fjernelse instruktioner i bunden af ​​denne artikel. De er omhyggeligt skabt for at hjælpe dig med at slette alle filerne ved at isolere .WNCRY virus først. Hvis du automatisk vil, og helt fjerne WanaCrypt0r 2.0 trussel, anbefalinger er at fokusere på at fjerne ransomware infektion ved hjælp af en avanceret anti-malware værktøj, som vil sørge for fjernelse processen er hurtig.

Til inddrivelse af dine filer, Vi opfordrer dig til at afprøve de alternative metoder til at genoprette krypterede filer. De kan ikke fuldstændig genoprettet alle dine filer, men kan gendanne de fleste af dine krypterede filer i den rigtige scenarie. Du kan finde metoder I trin "2. Gendan filer krypteret af .WNCRY” under.

Manuelt slette .WNCRY fra din computer

Note! Væsentlig underretning om .WNCRY trussel: Manuel fjernelse af .WNCRY kræver indgreb i systemfiler og registre. Således, det kan forårsage skade på din pc. Selv hvis din computer færdigheder er ikke på et professionelt niveau, fortvivl ikke. Du kan gøre fjernelsen selv bare i 5 minutter, ved hjælp af en malware fjernelse værktøj.

1. Boot din pc i fejlsikret tilstand for at isolere og fjerne .WNCRY filer og objekter
2. Find ondsindede filer oprettet af .WNCRY på din pc

fjerne automatisk .WNCRY ved at downloade et avanceret anti-malware program

1. Fjern .WNCRY med SpyHunter Anti-Malware Tool og sikkerhedskopiere dine data
2. Gendan filer krypteret af .WNCRY
Valgfri: Brug Alternativ Anti-Malware værktøjer

UPDATE MAJ 2017 Vi har sammenfattet potentielle metoder, som du kunne teoretisk prøve og gendanne dine filer. Vi har også inkluderet nye oplysninger om, hvordan gør denne virus spredes. Instruktionerne er i følgende artikel.

Opdatering juli 2017! WannaCry har fortsat med at inficere institutioner med mål i Australien og Europa samt. Mange medløbere af virus har kom ud, efterligne Det er løsesum notat. Virussen har også ramt et hospital, forsinke en operation på en patient.

Vencislav Krústev

En netværksadministrator og malware forsker ved SensorsTechForum med passion for opdagelsen af ​​nye skift og innovationer i cybersikkerhed. Stærk tilhænger af grundlæggende uddannelse for alle brugere mod online sikkerhed.

Flere indlæg - Websted

8 Kommentarer

  1. QuatNet

    og .VHD og .AVHD også. Beholdere til Hyper-V Server,

    Svar
    1. Vencislav Krústev

      Ja, og jeg tror også, at du kan bruges .VHDX, men jeg har ikke testet det

      Svar
  2. Patrick Young

    er der nogen, der kunne give mig en virus eksempel?

    Svar
    1. hans m

      Hvis du har brug for, jeg kan give dig den fil, men vi har brug for at finde en løsning til at dekryptere de sker filer. Som i min forskning, de har krypteret alle filerne på computeren, fjernelse af virus er nemt, men filen kan skulle inddrives. tilføje din e-mail her, så jeg vil dele dig virus fil

      Svar
  3. Muhammad Bintang Religion

    Jeg har brug for at virus også til uddannelsesmæssige formål

    Svar
    1. Vencislav Krústev

      Godt, givet hvor udbredt det er, Jeg tror ikke, det vil være en udfordring for dig at få en prøve.

      Svar
  4. Biswas Hav

    Systemgendannelse kan bidrage til at fjerne denne virus…Ved hjælp af Windows installation DVD…

    Svar
  5. Doomday Joseph

    god eftermiddag, hvis denne virus vil komme til at påvirke min pc, det kan fjerne formatering af maskinen?, Denne virus påvirker linux?

    Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.