Расшифровка файлов после XData Ransomware

После успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware которая почему-то затронула в основном территорию Украины и совсем немного соседей, страны СНГ и Европу.

Карта заражения XData Ransomware:Расшифровка файлов после XData Ransomware

Вирус создан по такому же принципу и использовать ту же самую уязвимость в протоколе SMB v1.  XData Ransomware шифровал пользовательские файлы и вымогал за их расшифровку деньги, но в отличии от WannaCry в котором судя по всему не предусмотрен механизм расшифровки, создатели XData такой механизм предусмотрели. Атака XData Ransomware продлилась около недели, видимо из боязни быть пойманными создатели этого вируса выложили приватный ключ, с помощью которого любой пострадавший пользователь сможет расшифровать свои файлы, а специалисты из Лаборатории Касперского выпустили новую версию дешифровщика файлов.

Расшифровка файлов после XData Ransomware
Папка с зашифрованными файлами выглядит вот так:Расшифровка файлов после XData Ransomware

В конец имени всех зашифрованных файлов дописано ~xdata~

Перед запуском расшифровщика, необходимо убедиться что нет запущенных процессов Xdata, откройте диспетчер задач и просмотрите список запущенных процессов, необходимо завершить процессы msdns.exe, mssql.exe, или mscom.exe:
Расшифровка файлов после XData Ransomware
Загрузите, распакуйте и запустите RakhniDecryptor:
Расшифровка файлов после XData Ransomware
Убедитесь что используете версию 1.20.1.0 или более новую, кликните на About в левой нижней части окна и проверьте номер версии:
Расшифровка файлов после XData Ransomware
Жмите Start Scan и выберите один из зашифрованных файлов, не перепутайте его с текстовым файлом в котором вирус размещает инструкции по расшифровке:
Расшифровка файлов после XData Ransomware
Начнется процесс сканирования и расшифровки всех зашифрованных файлов, в зависимости от производительности компьютера и количества файлов он может занять довольно много времени:
Расшифровка файлов после XData Ransomware

После завершения сканирования отчет будет доступен по ссылке details:
Расшифровка файлов после XData Ransomware

Список расшифрованных файлов:
Расшифровка файлов после XData Ransomware
После завершения работы, папка с файлами должна выглядеть так:Расшифровка файлов после XData Ransomware
Слева расшифрованный файл, справа зашифрованный. После расшифровки все зашифрованные файлы можно удалить, проще всего это сделать запустив поиск по расширению файла, а затем убедившись что найдено именно то что нужно — переместить все в корзину.

Уязвимость в SMB или как обезопасить свою сеть от шифратора вымогателя WCry (WannaCry или WannaCryptor) и его разновидностей

В начале весны была обнаружена уязвимость в протоколе SMB v1, она позволяет выполнять злоумышленнику на уязвимой машине произвольный код. Практически сразу же появился патч от Майкрософта и вирус-вымогатель, который шифрует файлы пользователя и требует деньги за дешифрование.  Обезопасить свой компьютер и сеть можно установив соответствующий патч или запретив в найстройках системы использование SMB v1, а лучше сделать и то и другое.  Эти меры защитят Ваш компьютер от заражения по сети, но если Вы сами скачаете и запустите вирус то они не помогут.

Тут на английском подробно про уязвимость: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, ссылки на патчи в конце статьи, если Ваш компьютер не заражен, листайте ниже и устанавливайте патчи (если включено автоматическое обновление, то вероятно патч уже установлен, но лучше перестраховаться и проверить).

Если Ваш компьютер заражен, то на данный момент удалить WannaCryptor можно разными способами:

  1. Первым делом установите патч закрывающий уязвимость (ссылки ниже), если этого не сделать возможно повторное заражение
  2. В Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 использование уязвимого протокола SMB v1 можно запретить командой:
    Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
    Для этого запустите PowerShell от имени администратора, скопируйте выделенное жирным и кликните правой кнопкой на окне PowerShell, затем нажмите Enter, после необходимо перезагрузить компьютер для применения изменений.Команда для Windows 8 and Windows Server 2012 выглядит иначе:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false

  3. Используйте утилиту MalwareBytes (по отзывам помогает)
  4. Используйте AdwCleaner (так же есть подтвержденные случаи успешного лечения)
  5. Лечение просто удаляет вирус, но зашифрованные файлы так и остаются зашифрованными.
  6. Так же не лишним будет проверить компьютер бесплатной антивирусной утилитой Cureit 
  7. Учитывая масштабы атаки весьма вероятно появления утилиты для дешифровки в обозримом будущем, пока не ясно, можно ли расшифровать файлы если заплатить вымогателям.

Ссылки на патчи:

Несмотря на прекращение поддержки Windows XP для нее и WIndows Server 2003 так же выпустили обновление закрывающее уязвимости в протоколе SMB v1:

Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8.1
Windows 8.1 for 32-bit Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows 8.1 for x64-based Systems
Windows Server 2012 and Windows Server 2012 R2
Windows Server 2012
Windows Server 2012
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016
Windows Server 2016 for x64-based Systems
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016 for x64-based Systems [3](Server Core installation)

UPD На начало июня расшифровщика нет, но весьма вероятно он будет, так что зашифрованные файлы можно не спешить удалять. Для тех кто только заразился и еще не перезагружал компьютер есть возможность расшифровать файлы WannaCry.

Бесплатный антивирус от Лаборатории Касперского

Вслед за многими другими производителями антивирусов которые давно выпустили бесплатные версии своих продуктов, это сделала и Лаборатория Касперского. Первыми модель распространения антивируса по которой пользователю бесплатно предоставляется ограниченный но достаточный функционал успешно опробовал Avast, собрав большую базу пользователей своего бесплатного продукта, они выпустили полноценную защиту с большим количеством функций и стали предлагать ее своим пользователям.

Использовать эту модель распространения своих продуктов решили и в Лаборатории Касперского, и несмотря на запоздалое решение свой кусок пирога им удастся отхватить благодаря отличной аргументации, см картинку:

free_antivirus_kaspersky_03

Выглядит убедительно, почему бы не перейти с одного бесплатного продукта на другой?

Скачать установочный файл бесплатного антивируса Касперского

Установка проходит быстро и без проблем (проблемы могут быть только если до этого Вы уже устанавливали продукты Касперского – тогда нужно их полностью удалить)

После установки в трее появляется значок Касперского, активация очень проста и антивирус сразу начинает работать. После можно создать учетную запись, она немного расширить возможности бесплатного продукта.

free_antivirus_kaspersky_01

Набор настроек стандартный для бесплатных антивирусов, тут нет никаких специальных модулей – если они Вам нужны то придется покупать полноценную версию как и в случае с аналогичными продуктами.

free_antivirus_kaspersky_02

Появлении бесплатной версии антивируса от Касперского, отличная новость, я думаю у меня теперь станет меньше поводов писать посты про лечение вирусов и удаление рекламы из браузеров.

Как удалить yapages.ru из Opera, Chrome и других браузеров

В этой статье я расскажу как удалить yapages.ru из Opera, Chrome и других браузеров. Этот сайт открывается при запуске браузеров в отдельной вкладке и выглядит примерно так:
Как удалить yapages.ru из Opera, Chrome и других браузеров
Для удаления yapages.ru скачайте последнюю версию AdwCleaner, запустите ее от имени Администратора и просканируйте свой компьютер. Важно — я даю ссылку на официальный сайт для скачивания AdwCleaner, не стоит скачивать эту утилиту с других сайтов. После сканирования жмите очистить и перезагружайте компьютер.
После перезагрузки удалите зараженные ярлыки браузеров и создайте новые, как это сделать я писал здесь. Теперь Ваш браузер чист, и страница yapages.ru удалена.

Со временем многие подобные страницы меняют способы заражения пользовательских компьютеров, если Вам не помогла моя инструкция напиши в комментариях что именно не получается, я помогу Вам разобраться и обновлю статью, на данный момент инструкция по удаления yapages.ru полностью актуальна.

Как убрать рекламу в браузере яндекс, хром, мозила, опера

Сегодня установил несколько небольших утилит, хотел протестировать видеокарту на ноутбуке, а через время заметил что в браузерах (я пользуюсь двумя) стала появляться реклама. Баннеры с рекламой появлялись слева и снизу, и не на каждой странице, при клике по странице — открывались еще вкладки с рекламой, и эти страницы пытались загрузить какие-то файлы.

Выглядит реклама примерно вот так:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Заметьте в рекламе предлагают обновить Flash Player, делать этого ни в коем случае не стоит.

Вот такая вкладка с рекламой открывается если на любой странице попытаться что-то сделать:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Тут опять предлагают установить бесплатный player, не соглашайтесь, в лучшем случае программа будет бесполезна, в худшем — вирус:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

 

Мне повезло, в моем случае я знал дату когда стала появляться реклама в браузере, поэтому первым делом я проверил список установленных программ в панели управления:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

В прямоугольнике отмечены 3 претендента, виновник найдет, рекламу в браузер встраивает утилита Positive Finds, причем я ее точно не устанавливал, она установилась с одной из утилит Ati Tools. Жмем на Positive Finds и выбираем в меню вверху удалить, после завершения удаления на всякий случай можно еще запустить проверку утилитой Adwcleaner, для наглядности я ее запустил до удаления Positive Finds из панели управления что б узнать найдет или нет эту заразу, нашла:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

После удаления Positive Finds из панели управления, необходимо проверить браузеры, туда добавляются расширения, в частности в Firefox, надо пройти по стрелочкам и напротив Positive Finds нажать удалить:
Как удалить рекламу в браузере мазила

В опере расширения не было добавлено, но подобные Adware очень быстро меняются, проверить стоит:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

У Positive Finds есть расширение для Chrome, но мне повезло и в моем случае оно установлено не было, вы у себя в хроме на всякий случай проверьте:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Вместо приложения Positive Finds которое загаживает рекламой все установленные на компьютере браузеры, может быть другое приложение с другим названием, если у Вас не получилось удалить рекламу в браузере с помощью этой инструкции пишите в комменты и я Вам помогу, сразу можете прикладывать скрин программ из панели управления.