En ransomware-variant som kallas WannaCry gör nu rubriker från världens ledande säkerhetsbolag. Denna stora uppmärksamhet är av en anledning. Själva infektionen har angripit ett antal stora företag i Europa under de senaste dagarna, och den fortsätter att göra så framgångsrikt. Trojanen krypterar sina måls annars skyddande data och lägger till filformatet. WNCRY.
.WNCRY viruset, som också går under namnet Wana Decrypt0r 2.0, representerar en relativt ny utvecklingslinje av krypterings hot. På utsidan liknar den sin föregångare som kallas WCRY, eller Wanna Decryptor 1.0. Utvecklarna bakom kampanjen tog lite mer än en månad på sig att släppa en uppdaterad version av sin plåga. Den senaste varianten har visat sig vara mycket mer komplex och robust i termer av förökningen, mekanism och utpressning krypteringsteknik. Snabbheten av hur den sprider sig är utan motstycke – den har smittat enligt uppgift 57.000 datorer under loppet av endast några timmar den 12 maj 2017.
Att identifiera denna stam är ganska prosaisk. Avlagt kontaminering kedjan, konfigurerar den systemets mål för att visa en ny skrivbordsbakgrund med ett varningsmeddelande. Dessutom dyker det upp en skärm med rubriken Wana Decrypt0r 2.0 upp, med uppgifter om vad som hände och visar tidsperiod under vilken lösensumman måste lämnas. Informationen i det här fönstret innehåller också storleken på lösensumman, som motsvarar $300 i Bitcoins, liksom den Bitcoin adressen att skicka digitala kontanterna till. Ett annat iögonfallande kännetecken för anfallen är en ny filändelsen till den krypterade datan. Listan över möjliga tillägg innehåller på denna punkt. WNCRY. WCRY. WNRY, och. WNCRYPT. Den första en. WNCRY, påträffas oftast under denna speciella ransomware våg. Ursprungliga filnamnen ändras inte, så offer konfronteras med följande omformningen av en exempelfil: Chart.xlsx – Chart.xlsx.WNCRY.
WannaCry ransomware lämnar också en lösesumma anteckning att se till att offret inte misslyckas att hitta dekryptering genomgången som införts av angriparna. Det heter @Please_Read_Me@.txt. Ordalydelsen i det är något annorlunda än på ovannämnda varningsfönstret. Det säger: “Vad är fel med mina filer? Oooops, dina viktiga filer är krypterad…” Lång historia kort, den återställningsmetod som föreslagits av skurkarna förutsätter att användaren måste betala $300 värde av Bitcoin och sedan köra ett program som heter @wanadecryptor@ .exe, som släpps på datorn som en del av attacken.
För att skydda sig själv, visar WannaCry viruset några tips på nya skrivbordsunderlägg. Det ger steg gällande om offrets antivirus program hade tagit bort verktyget Wana Decrypt0r. Skrivbords meddelandet anger instruktioner för att återlansera den skadliga körbara för att kunna fortsätta med dekryptering genom betalning. Sammantaget ser attacken väl genomarbetad ut, oavsett hur du väljer att plocka isär attacken, vilket tyder på att kampanjen drivs av hotfulla aktörer med betydande bakgrund inom just utpressning.
Effektiv utrotning av detta Ransomware kan åstadkommas med ett tillförlitligt säkerhetsprogram. Hålla sig till automatisk rensning teknik säkerställer att alla komponenter av infektionen grundligt rensas ut från systemet.
Lösning 1: Använd filåtervinnings program
Det är viktigt att veta att WannaCry viruset skapar kopior av dina filer och krypterar dem. Under tiden får de ursprungliga filerna raderas. Det finns program där ute som kan återställa borttagna data. Du kan använda verktyg som Data Recovery Pro för detta ändamål. Den nyaste versionen av Ransomware i fråga tenderar att tillämpa säker radering med flera överskrivningar, men i vilket fall som helst denna metod är värt ett försök.
Lösning 2: Utnyttja säkerhetskopior
Först och främst är detta ett bra sätt att få tillbaka dina filer. Det är bara tillämplig, men om du har säkerhetskopiera den information som lagras på din dator. Om så är fallet, glöm inte att dra nytta av din eftertanke.
Lösning 3: Använd kopior i form av “Shadow Volume”
Om du inte redan visste så skapar operativsystemet en så kallade skugg volum kopia av varje fil så länge systemåterställning är aktiverad på datorn. Där återställningspunkter skapas vid bestämda tidpunkter, ögonblicksbilder av filer som de visas i det ögonblicket genereras också. Denna metod garanterar inte återhämtning av de senaste versionerna o dina filer. Men det är verkligen värt ett försök ändå. Det här arbetsflödet är genomförbart på två sätt: Manuellt och med hjälp av en automatisk lösning. Låt oss först ta en titt på den manuella processen:
Egenskapsrutan för många filer har en flik som heter Tidigare versioner. Det är där som de tidigare versionerna visas, och kan hämtas. Högerklicka på en fil, välj Egenskaper, klicka på den ovan nämnda fliken, och välj Kopiera eller Återställ, beroende på var du vill spara versionen.
Processen ovan kan automatiseras med ett verktyg som heter ShadowExplorer. Det gör egentligen samma sak (hämtar skuggkopior), men på ett smidigare sätt. Ladda ned och installera applikationen, kör den, och bläddra bland de filer och mappar som du vill återställa tidigare versioner av. Klicka på något av objekten och välj Export.
Återigen, borttagning av skadlig programvara leder inte till dekryptering av dina personliga filer. De dataåterställnings metoder vi nämnt ovan kanske eller kanske inte göra susen, men ransomware själv ska inte finnas inuti datorn längre. Denna typ av virus kommer ofta med andra skadliga program, därför är det vettigt att vid upprepade gånger skanna systemet med ett automatiskt säkerhetsprogram för att se till att inga skadliga rester av detta virus och tillhörande hot finns kvar i Windows-registret och andra platser.