Убиваем Wana Decrypt0r 2.0

vadim

Administrator
Команда форума
Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.

1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-01...
2. Отключитесь от интернета.
3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
4. Вписываете эту команду в командную строку:
Код:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.
5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
7. Перезагрузите компьютер.
8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.

Вот и всё. У меня и моих друзей всё заработало.

Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: Utilities ; возможно скоро выйдет декриптор .wncry

Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
 

vadim

Administrator
Команда форума
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
33.png
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
 

vadim

Administrator
Команда форума
Вирус проникает самостоятельно через порт 445.
Open Port Check Tool - введите в Port to Check : 445 и нажмите Check Port
если в ответ появилось сообщение: "Error: I could not see your service on xx.xxx.xx.xx on port (445)
Reason: Connection timed out" --> все в порядке. вчерашняя напасть к вам не залезет

если же порт открыт, то тогда 2 варианта:

1) скачать установить https://technet.microsoft.com/en-us/library/security/ms17-01...
или
2) Открыть Control Panel, кликнуть на Programs, а потом на Turn Windows features on or off, в окошке Windows Features отключить the SMB1.0/CIFS File Sharing Support и кликнуть OK. После этого перегрузить комп
 
Сверху