Ei, tu,
Essere a conoscenza!

35,000 infezioni ransomware al mese e ancora crede che si sono protetti?

Iscriviti per ricevere:

  • avvisi
  • notizia
  • libera come da rimuovere guide

delle più recenti minacce online - direttamente alla tua casella di posta:


Wana Decrypt0r 2.0 .WNCRY file del virus (Ripristino di file)

Questo articolo è stato creato per aiutare a rimuovere la .WNCRY Wana Decrypt0r 2.0 infezione ransomware (nuova variante WannaCry) e ripristinare i file crittografati con la .WNCRY estensione del file.

Un nuovo ransomware, detto Wana Decrypt0r 2.0 dai cacciatori di malware è stato segnalato per crittografare i file sui computer infettati da essa. Il virus utilizza il ransomware .WNCRY file di estensione ed è fondamentalmente segnalato per essere una nuova versione del WannaCry noto anche come WCry famiglia di virus ransomware. L'infezione scende una richiesta di riscatto, di nome @ @ Please_Read_Me .txt e cambia la carta da parati, così come aggiunge il software con le istruzioni per il pagamento del riscatto. Nel caso in cui sei diventato una vittima di questa infezione ransomware, si consiglia vivamente di leggere il seguente articolo a fondo.

Sommario minaccia

Nome

.WNCRY

TipoRansomware
breve descrizioneNuovo maggio 2017 versione dei virus ransomware WannaCry. Cripta i file e quindi richiede vittime a pagare una tassa di riscatto pesante al fine di ripristinare i file crittografati.

SintomiI file vengono criptati con il file .WNCRY estensione aggiunto a loro. Oltre a questa nota un riscatto viene aggiunto, di nome @ @ Please_Read_Me .txt. aggiunge anche una lockscreen, denominato “Wana Decrypt0r 2.0”.
Metodo di distribuzioneTramite un kit di exploit, attacco di file Dll, dannoso JavaScript o un drive-by download del malware stesso in modo offuscato.
Detection Tool Vedere se il vostro sistema è stato interessato dalla .WNCRY

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra forum per discutere .WNCRY.
Strumento di recupero datiWindows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

.WNCRY Virus – Come funziona è diffuso

Simile al precedente .variante wcry , questa iterazione ransomware può anche utilizzare gli stessi metodi per diffondere. Essi sono connessi con l'uso di diversi tipi di strumenti utilizzati specificamente per distribuire file dannosi e URL senza essere rilevata:

  • Il ETERNALBLUE e DOUBLEPULSARE Sfrutta trapelato dai ShadowBrokers in una perdita, detto “Perso nella traduzione” che è accaduto di nuovo nel mese di aprile 2017
  • software spamming (bots spam, crawler, etc)
  • Pre-configurati elenco di indirizzi e-mail dei potenziali vittime a cui lo spam di posta possono essere inviati.
  • il malware intermediario per condurre l'infezione.
  • Un insieme di server e domini C2 di distribuzione per il comando e controllo e il download di virus di file .WNCRY payload.

Anche se il WanaCrypt0r 2.0 ransomware può diffondersi attraverso siti torrent, aggiornamenti falsi o altre configurazioni falsi e gli eseguibili caricato il cotta ombrosi, metodo principale del virus di diffusione può avvenire tramite e-mail in modo convincente creati. Tali e-mail hanno lo scopo di raggiungere le vittime a cliccare su un allegato di posta elettronica dannoso e quindi infettarsi con il .virus di file WNCRY.

Gli attacchi possono essere di solito js, .exe o altro tipo di file eseguibili, ma in alcune situazioni che sono anche in relazione con le macro dannosi. Queste macro maligni possono essere attivati ​​una volta che l'utente attiva il contenuto di un documento. Ecco come si svolge questo processo di infezione:

Le prime infezioni Wana Decrypt0r 2.0 sono stati in Germania, Russia, Taiwan, Tacchino, Kazakhstan, Indonesia, Vietnam, Giappone, Spagna, Ucraina e Filippine. Ma il numero dei paesi potrebbe salire molto rapidamente presto, Dal momento che questo modello si presenta campagna di distribuzione globale.

.WNCRY Virus File come funziona

L'attività principale del Wana Decrypt0r 2.0 virus ransomware dopo l'infezione è far cadere un file incorporato nella cartella in cui si trova il file infezione. Il file è un protetto da password .zip, chiamato wcry.zip. Ha i seguenti contenuti:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

Il Wana Decrypt0r 2.0 file di infezione del ransomware sarà quindi estrarre i file zip in una cartella e cominciare a collegarsi alla pagina Web di download del browser web TOR. Da lì, il .Wana Decrypt0r 2.0 virus può connettersi a più server di comando e controllo:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Poi, Wana Decrypt0r 2.0 si prepara per la crittografia dei file vitali vittima. Per farlo, viene eseguito un comando di gestione in Windows al fine di ottenere le funzioni di amministratore:

→ icacls . /concedere tutti:F / T / C / Q

Poi, il Wana Decrypt0r 2.0 virus spegne i seguenti processi di sistema di Windows dal Task Manager:

→ mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
Microsoft.Exchange

Il carico utile può essere costituito da più diversi tipi di file. Alcuni di questi file potrebbero modificare l'editor del Registro di Windows e indirizzare le seguenti sotto-chiavi:

→ HKCU Software Microsoft Windows CurrentVersion Run
HKCU Software WanaCrypt0r
HKCU Software WanaCrypt0r WD
Pannello HKCU Control Wallpaper gratis

In quelle chiavi, le stringhe di valore personalizzati con i dati in essi contenuti possono essere di ingresso in modo che sia possibile per il ransomware per eseguire all'avvio del sistema e iniziare la crittografia dei file al boot.

Oltre all'attività di infezione WanaCrypt0r .WNCRY potrebbe essere quella di eliminare le copie shadow del volume e sradicare tutte le possibilità di un ritorno dei file tramite il backup sul computer infetto. Questo viene fatto eseguendo i seguenti comandi di amministrazione di Windows:

→ vssadmin eliminare ombre / all / quiet
wmic ShadowCopy cancellare
bcdedit / set ignoreallfailures boostatuspolicy
bcdedit / set {predefinito} recoveryenabled no & wbadmin eliminare Catalogo -quiet

Oltre a questa attività, virus WannaCry .WNCRY scende anche un programma, di nome @ @ WanaDecryptor .exe che ha un timer reale con le istruzioni avanzate su come pagare il riscatto. Questo programma si chiama “Wana Decrypt0r 2.0” ed è un messaggio appare come il seguente:

Dopo che il timer su questo programma viene eseguito il costo del payoff di riscatto può raddoppiare, secondo i messaggi scareware e la versione precedente, anche utilizzando questo software.

Un'altra azione il programma fa è che cambia anche la carta da parati sul computer della vittima con il seguente messaggio:

ooops, i file importanti sono criptati.
Se vedete questo testo, ma non si vede la “Wana Decrypt0r” finestra,
allora il vostro antivirus rimosso il software decrypt o cancellato dal computer.
Se avete bisogno dei file è necessario eseguire il software decrypt.
Si prega di trovare un file di applicazione di nome “@ @ WanaDecryptor .exe” in qualsiasi cartella o il ripristino dalla quarantena antivirus.
Eseguire e seguire le istruzioni!

.WNCRY File Virus - Processo di crittografia

Due algoritmi di cifratura possono essere utilizzati per questa specifica infezione ransomware. Uno di questi è noto come AES (Advanced Encryption Standard) e può essere utilizzato in 128 bit di forza. Si tratta di una delle cifre più forti e non possono essere decifrati a meno che i criminali fanno un errore nel codice di crittografia. Può generare una chiave simmetrica, chiamato chiave FEK dopo la crittografia. Questa chiave può essere l'unico metodo per decifrare i file perché con esso il processo può essere invertito.

In aggiunta a questo, un'altra cifra noto come fiumi-Shamir-Adleman o RSA è utilizzato anche in combinazione con il cifrario AES al fine di generare pubblico unico e chiavi private per ognuno dei file. Questo rende la decrittazione di ogni file processo separato e molto difficile e unico.

Per il processo di crittografia, i file dei virus obiettivi .WNCRY che sono ampiamente utilizzati. Questi file sono di solito il seguente:

→ .LDF, .SLN, .suo, .cpp, .non, .asm, .cmd, .pipistrello, .vbs, .tuffo, .DCH, .sch, .brda, .jsp, .php, .classe, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .medio, .djvu, .svg, .psd, .navata, .bisticcio, .tif, .CGM, .crudo, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .di riserva, .chiusura, .rar, .tgz, .prende, .dietro, .tbk, .PAQ, .ARCO, .AES, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .lei, .infilare, .centesimi, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .VSD, .edb, .Rispondere, .OTP, .SXD, .std, .UOP, .risposta, .OTG, .SXM, .MML, .posare, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .ACCDB, .CIS, .dbf, .ODB, .frm, .mondo, .venduto, .IBD, .mdf, .msg, .ost, .PST (ora standard del Pacifico, .sentieri, .potx .eml, .il, .pfx, .chiave, .crt, .csr, .pem, .odt, .ci, .SXW, .STW, .uot, .max, .paragrafo, .ots, .sxc, .stc, .DIF, .ch, .aspide, .Giava, .PPAM, .PPSX, .PPSM, .pps, .pentola, .pptm, .pptx, .ppt, .XLTM, .xltx, .XLC, .XLM, .XLT, .XLW, .XLSB, .xlsm, .xlsx, .xls, .dotx, .dotm, .puntino, .docm, .DOCB, .docx, .doc, .vaso

Dopo che la crittografia è fatto, il virus .WNCRY può inviare la chiave di decodifica per i cyber-criminali in modo che possano creare un decrypter personalizzato per la vittima, che sarà inviato verso di lui una volta che il riscatto è pagato. Pagare il riscatto, tuttavia è altamente sconsigliabile.

I file hanno un'estensione aggiunto .WNCRY a loro che è unico per l'infezione. I file possono essere visualizzati come la seguente e non possono essere aperti con qualsiasi software:

rimuovere WanaCrypt0r 2.0 e ripristinare i file crittografati .WNCRY

Al fine di rimuovere .WNCRY ransomware, vi invitiamo a eseguire il backup dei file prima con la creazione di copie di loro e poi di procedere con la rimozione. Un metodo per rimuoverlo è se si seguono le istruzioni per la rimozione in fondo a questo articolo. Essi sono accuratamente creati al fine di aiutare a eliminare tutti i file isolando il virus .WNCRY prima. Se si vuole automaticamente e completamente rimuovere il WanaCrypt0r 2.0 minaccia, raccomandazioni sono di concentrarsi sulla rimozione dell'infezione ransomware con l'ausilio di un avanzato strumento anti-malware, che farà in modo che il processo di rimozione è rapida.

Per il recupero dei file, vi invitiamo a provare i metodi alternativi per il ripristino di file crittografati. Essi non possono recuperare completamente tutti i file, ma può ripristinare la maggior parte dei file crittografati nello scenario giusto. È possibile trovare i metodi del passaggio "2. Ripristinare i file crittografati da .WNCRY” sotto.

Eliminare manualmente .WNCRY dal tuo computer

Nota! Notifica sostanziale sulla .WNCRY minaccia: Rimozione manuale di .WNCRY richiede l'interferenza con i file di sistema e registri. Così, può causare danni al vostro PC. Anche se le vostre competenze informatiche non sono a livello professionale, non ti preoccupare. Si può fare la rimozione se stessi solo in 5 verbale, usando un Strumento di rimozione malware.

1. Avviare il PC in modalità provvisoria per isolare e rimuovere i file e gli oggetti .WNCRY
2. Trovare i file maligni creati da .WNCRY sul PC

rimuovere automaticamente .WNCRY scaricando un programma anti-malware avanzato

1. Rimuovere .WNCRY con lo strumento SpyHunter Anti-Malware e il backup dei dati
2. Ripristinare i file crittografati da .WNCRY
Opzionale: Utilizzo degli strumenti Alternative Anti-Malware

AGGIORNAMENTO MAGGIO 2017 Abbiamo riassunto potenziali metodi con cui si potrebbe teoricamente cercare di ripristinare i file. Abbiamo anche incluso nuove informazioni su come funziona questo diffusione del virus. Le istruzioni sono in il seguente articolo.

Vencislav Krustev

Un amministratore di rete e ricercatore di malware presso SensorsTechForum con passione per la scoperta di nuovi cambiamenti e le innovazioni in materia di sicurezza informatica. Forte credente nella formazione di base di ogni utente verso la sicurezza on-line.

Altri messaggi - Sito web

  • QuatNet

    e VHD e .avhd troppo. Contenitori per Hyper-V Server,

    • sì, e credo anche che è possibile utilizzare .VHDX, ma non ho provato

  • c'è qualcuno che mi potrebbe dare un esempio virus?

    • il suo m

      Se avete bisogno posso darvi il file, ma abbiamo bisogno di trovare una soluzione per decriptare i file effettato. Come nella mia ricerca sono crittografati tutti i file nel computer, la rimozione dei virus è facile, ma il file potrebbe necessario da recuperare. aggiungi la tua email qui quindi voglio condividere la file del virus

  • Muhammad Bintang Religione

    Ho bisogno che il virus anche per scopo educativo

    • Bene, dato quanto sia diffuso, io non credo che sarà una sfida per voi per ottenere un campione.

  • Sea Biswas

    Ripristino configurazione di sistema può aiutare a rimuovere questo virus…Utilizzando DVD di installazione di Windows…

  • Doomday Joseph

    buon pomeriggio, se questo virus verrà a influenzare il mio PC, può eliminare la formattazione macchina?, Questo virus colpisce Linux?

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...
Attendere prego...

Iscriviti alla nostra Newsletter

Vuoi essere avvisato quando il nostro articolo è pubblicato? Inserisci il tuo indirizzo e-mail e il nome sottostante per essere il primo a sapere.