WNCRY (WannaCry) расшифровать файлы и отключение SMB в windows 7

Всем привет! Сегодня в пике активность вируса WNCRY, который шифрует файлы и вымогает биткойны. Итак. Как лечить, чем грозит и откуда такая дыра. Как её залатать. Практический опыт.

Что за вирус-шифровальщик, как он вообще работает?

Вирус шифровальщик — это архиватор с паролем. Архиватор с определенным алгоритмом. Например, когда вы архивируете какой-то файл софтиной типа RAR или 7zip, вы можете выбрать «не сжимать», получается, что файл меняет расширение, а т.к. ещё и пароль, то становится не доступным. При том, если вы когда-нибудь что-нибудь архивировали, то знаете — что останется оригинальный файл, а рядом появится файл архива. В данном случае вирус «запаковывает» и шифрует, а оригинал удаляет.

На этом и основан один не особо надёжный способ восстановления шифрованных файлов — восстановление стёртых копий.

А прямой способ — дешифровка. Но пока не известен алгоритм шифровщика — нет возможности файлы расшифровать. Так и обстоит дело с шифровщиком WanaCrypt0r сегодня. Что касается других шифровальщиков, коих накопилось не мало за время развития этой ветви вирусной индустрии — тут список и ссылки на дешифраторы. Всем советую.

Как его удалить? Как восстановить файлы?

Шаг 1. Удаляем вирус, предотвращая его распространение и шифрование.

Чтобы удалить вирус-шифровальщик, нам понадобится утилита Касперского — Kaspersky Virus Removal Tool. Берем с официального сайта (вот ссылка).

Опыт.

Ноутбук HP 2006 года, на AMD 64 процессоре, 2 гига ddr3. Винт 150Гб (свободно 50 гиг), не разбит, только системные 100 гигабайт, которые Windows 7 резервирует при установке. Т.е. диск один — С. Зашифрованные файлы в т.ч. блокноты, таблицы, зип-архивы, фотки, приобретают характерное расширение *.WNCRY

В KVRT перед началом сканирования заходим в «изменить параметры» и отмечаем все галочки!

Исходя из давности компа и объема оперативки, можете представить сколько длилось сканирование — 1ч 30 минут. При том что винт занят на 60%…

После KVRT спрашивает — все ли вирусы вредные вирусы (например, в данном случае был нелиц.Win7, поэтому оставляем файлы KMS, которые обеспечивают лицензионность). Остальное (почти всё) — лечим. К слову, были найдены подверсии .b и .c данного нового вируса (мутирует чтоль, собака? 😉 ) и ещё 2 троянца. В нескольких папках в сумме обнаружилось порядка 15 копий.

Затем он предлагает их вылечить «при перезагрузке». Соглашаемся, лечим. Он как бы лечит (удаляет), потом проводит повторное быстрое сканирование — ещё на 5 минут, не больше. Нашёл ещё 2 виря! Потом идёт перезагрузка.

Только загрузились — снова начинается сканирование. Но уже чтобы убедиться, что ничего не осталось. Ещё 2 часа?? Я вырубил.

Шаг 2. Вариант 1. Восстановление предыдущих версий файлов при активной службе теневого копирования тома.

Рекомендуют провести поиск в теневых копиях основных версий файлов и быстро их восстановить. Для этого используется софтина ShadowExplorer, которую скачиваем с официального сайта по этой ссылке. Это архив портативной (не требующей установки) версии. Распаковываем. Активируем.

Опыт.

Чтобы не «подцепить» заразу, на всякий случай я загрузил зараженный ноут с флешки с линуксом, с другой флешки скопировал файлы нужных программ. Но сделал я это ещё до сканирования каспером. Как итог, когда загрузился в зараженную винду — только что скопированный архив с этой софтиной оказался зашифрован)) Так что имеем ввиду, что эти процедуры копирования или скачивания проделываем только после лечения компа от вируса, после шага 1.

Вышло так, что у меня ShadowExplorer не работает. А связано это с тем, что эта софтина пытается восстановить прежние версии файлов, если был активен сервис теневого копирования тома. Теневое копирование тома по умолчанию почти всегда отключено. Что это такое?

Теневое копирование тома — это запись изменений файлов в скрытый бекап. Не самих файлов, а только того, что в них изменилось. Т.о. скорость бекапа быстрая (микрософт хвастается, что моментальная). Бекапится не весь файл, а только его малая часть, сохраняется при теневом копировании все в папку System Volume Information. На это требуется 10% от объема диска. Даже без копий по умолчанию откусывается 100 мегабайт. Но овчинка стоит выделки. Положим, для диска, где установлен Windows, это не удобно, т.к. при работе операционной системы всегда меняются какие-то файлы. Но если у вас винда на C, а все папки, особенно так любимые пользователями Мои документы, Загрузки и Рабочий стол вынесены на диск D — то лучше включить. Юзерские файлы типа фоток, ворда и таблиц, меняются реже, чем логи. А уж БД от 1С или файлы автокада не грех и почаще копировать. Теневое копирование тома не позволяет выбирать папки. Либо весь диск, либо ничего. Зато работает «как тень», не заметно.

Итак, софт ShadowExplorer позволяет выбрать диск, где искать резервные «теневые копии», и во втором окошечке справа от выбора диска — версии копий. Их ограниченное количество. Новые записываются поверх старых. В данном случае у меня было только С:\ и справа ничего — т.к. сервис то отключён!

Как включить теневое копирование тома, чтобы если что — было откуда выковыривать оригинальные версии файлов, не зашифрованные энкриптором после вирусной атаки?

На «Мой компьютер» (не важно, в Пуске или на рабочем столе) правой кнопкой мыши. Выбираем «Управление»

Открыть управление моего компьютера

Откроется окно, в котором выбираем «Службы и приложения» — «Службы».

Открыть список сервисов Windows 7

Находим «Теневое копирование тома», двойной щелчёк

Запуск службы теневого копирования тома

Выбираем тип запуска «Автоматически». Если комп заражён вирусом, а сервис был выключен и ещё не пролечен антивирусом — не включать и не запускать! Это для профилактики, а не лечения.

Копии файлов создаются на включенном в эту функцию диске при нажатии «Создать…» точку восстановления.

Итак, а если теневое копирование работало — то ShadowExplorer покажет структуру диска, выбираете как в проводнике нужные файлы и восстанавливаете — т.е. «вытаскиваете» старую копию файла без последних изменений.

Выбираем файл — правой кнопкой — Export — куда восстанавливать…

Шаг 2. Вариант 2. Восстанавливаем удаленные вирусом оригинальные незашиврованные файлы.

Здесь все зависит от

  • а) свободного объема на жёстком диске, где зашифрованы актуальные файлы
  • б) размеров и количества файлов
  • в) времени работы с жестким диском после шифровки файлов
Экскурс для тех, кто думает, что файлы удаляются всегда и навсегда.

При удалении в системе (Windows и не только) файла из корзины или Shift+Del (мимо корзины), файл исчезает и его не видно. Как бы его нет. На самом деле он просто переименовывается, заменяется начало имени файла, он удаляется из списка файлов системы, но физически на носителе (будь то флеш, SSD-диск, просто жесткий диск компьютера или ноута) остается. Потому что перетирание места, где был записан файл, чтобы все единички и нолики (на уровне физики — все в двоичной системе) превратились в нолики — время- и ресурсозатратный процесс. Система просто теперь думает, что на этом месте ничего нет, и новый файл можно писать на это место. Это и приведет к окончательному стиранию старого файла — на «железо» запишется новый набор двоичного кода, переписывая старый. Но систему делали отнюдь не дураки. Чтобы можно было восстанавливать удаленные файлы, и сохранения ресурса ради (флешки или диска), в начале идёт запись на свободное место. Ведь файл и каталоги только виртуально структурированны. На самом деле один файл может располагаться в свободных секторах, перепрыгивая через фрагменты других файлов. И только система может прочесть файл правильно, собрав его из разбросанных по носителю данных. Поэтому при записи нового файла, система ищет свободное место, перепрыгивая через занятое, и пишет в «свободные пустоты» или на самые старые места. Поэтому есть шанс восстановить удаленные файлы даже программными методами. Ну, а спецы, за хорошую денежку у себя в конторе разбирают диск и физически ищут магнитные следы от предыдущих файлов даже тогда, когда программы восстановления такие файлы не видят.

Продолжим.

Опыт. Восстановление файлов с помощью qphotorec_win.exe (Photo Recovery).

Ссылка на скачивание софтины, которая заточена под восстановление фотографий, с сайта производителя здесь. Однако, в моём случае все фотки были сбекаплены на внешний USB HDD, а требовалось восстановить три-четыре десятка таблиц Excel. А данная программа файлы xls или xlsx не видит, хотя функция «других расширений файлов», кроме перечисленных, стоит первым пунктом… Я не нашёл куда вводить нужное мне расширение. Тем не менее, убрав все галочки и оставив только первый вариант, сканирование результатов не дало…. На скриншоте вариант не клиентской машины, где проводился опыт, а моего ноута. Результат относительно экселевских таблиц, кстати, тот же — никакой. А ведь именно эту софтину советовали на сайте СПАЙВАРЕ РУ, автору которого, кстати, большой рахмат! за описание программы ShadowExplorer и стратегию извлечения зашифрованных файлов из небытия.

Но, благодаря автору, общий смысл ясен — гуглим софт восстановления файлов и продолжаем попытки.

Восстановление с помощью Recuva, FileRecovery и иных программ.

Опыт показал, что Recuva (можно скачать с официального сайта прямо тут) в простом режиме откопала 2 эксельных файла, из которых оба после восстановления оказались не читаемыми. При «углубленном сканировании», к тому же без указания директории (рабочего стола, где все и хранилось), а всего жесткого диска, откопался ещё 1 файл. Всего лишь один…

SoftPerfect FileRecovery (качать тут) нашел те же первых 2 xls файла. Глубокого сканирования в программе нет.

Восстанавливать надо всегда на другой диск, хоть на флешку, чтобы не перетирать найденные версии стертых файлов!

Остаётся добавить, что на сканирование другими программами, а именно RStudio и DMDE_3.0 у меня времени не было. Но по опыту скажу, что именно DMDE даёт самые не плохие результаты, т.к. проводит очень подробное сканирование поверхности диска.

Общий принцип, думаю, становится ясен — пока дешифратора нет, есть небольшая возможность восстановить удаленные вирусом оригинальные файлы.

DMDE даёт самые не плохие результаты
DMDE даёт самые не плохие результаты

 

 

 

 

 

 

Путь проникновения вируса и заплатка от Микрософта.

Вирус проникает через уязвимость в программе общего доступа к файлам, т.н. серверу Самба (SMB). Например, в данном случае у человека был доступ к дискам в конторе, и когда ноут включался по WiFi в локальную сеть на фирме, то диски становились доступными. Через этот сервис SMB вирус и проник.
И не важно, что эти диски уже не использовались и были не доступны.

SMB на текущий момент имеет 3 версии. Вирус проник через уязвимость в первой версии, которая нужна для совместимостью с XP и более старыми виндами. Поэтому, по уму, нужно отключить первую SMB.

И/или установить обновление от Микрософт, которое они выпустили не задолго до появления актуального вируса. Видимо информация об этой уязвимости от самого Микрософта и подарила идею вымогателям о новом пути шантажирования юзеров по всему миру, обновления то ставят не все и не всегда и не сразу.

Устанавливаем один файл обновления, для закрытия уязвимости

Для Windows 7 SP1 необходимо обновление (скачать тут: 4012212) от марта 2017 г. (только качество безопасности обновление для Windows 7 с пакетом обновления 1 и Windows Server 2008 R2 с пакетом обновления 1)

PS.: после лечения в каждой папке, где поработал вирус, остаются ссылки (ярлыки) на запуск окна, предлагающего платить денежку, а также текстовый дубль-пояснялка от вирусосоздателя, экие затейники… Можем удалять.

Leave a Reply

Вы можете войти через: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *