Table des matières
Une souche ransomware appelée WannaCry est l’une de l’actualité des principales ressources de sécurité du monde. Telle une grande attention est pour une raison. Cette infection a attaqué un certain nombre de grandes entreprises en Europe au cours des derniers jours, et il conserve une tournée de façon régulière. La rançon de Troie crypte les enregistrements de données exclusives de ses cibles et imperfections avec le. Extension de fichier WNCRY.
Qu’est-ce qu’un ransomware WannaCry ?
Le. Virus de fichier WNCRY, qui se manifeste aussi que Wana Decrypt0r 2.0, représente une lignée relativement nouvelle des menaces cryptographiques. À l’extérieur, il ressemble à son précurseur appelée WCRY, ou voulez déchiffreur 1.0. Il a fallu les architectes de cette campagne un peu plus d’un mois pour publier une version actualisée de leur peste. La dernière variante s’est avéré pour être beaucoup plus complexe et plus robuste en ce qui concerne la propagation, techniques de cryptage mécanisme et l’extorsion. La rapidité de la diffusion est sans précédent : elle aurait été contaminée une énorme 57 000 ordinateurs au cours des seuls plusieurs heures le 12 mai 2017. Cette prévalence s’explique par le fait que les cybercriminels utilisent des exploits NSA déversés par des pirates informatiques plus tôt ce mois-ci. De cette façon, les criminels sont en mesure d’accéder aux postes de travail à distance via RDP et exécuter le ransomware sans passer par l’ingénierie sociale des victimes.
L’identification de cette souche est assez prosaïque. Après avoir terminé la chaîne de contamination, il configure le système cible pour afficher un nouveau papier peint avec un message d’avertissement à ce sujet. Par ailleurs, un écran intitulé Wana Decrypt0r 2.0 apparaît, fournissant les détails de ce qui s’est passé et l’affichage de la quantité de temps pendant laquelle la rançon doit être soumise. Les informations contenues dans cette fenêtre comprennent également la taille de la rançon, ce qui équivaut à Bitcoin de 300 $, ainsi que l’adresse Bitcoin à envoyer de l’argent numérique. Une autre caractéristique remarquable de l’agression est une nouvelle extension de fichier ajoutée aux données cryptées. La liste des extensions possibles à ce stade comprend. WNCRY. WCRY. WNRY, et. WNCRYPT. Le premier, celui. WNCRY, se rencontre plus fréquemment au cours de cette vague ransomware particulière. Les noms de fichiers originaux ne sont pas modifiés, donc les victimes sont confrontées à la transformation suivante d’un fichier d’exemple : Chart.xlsx – Chart.xlsx.WNCRY.
Le WannaCry ransomware laisse aussi une note de rançon en clair pour s’assurer que la victime ne manquera pas de trouver la solution de déchiffrement imposée par les assaillants. Il se nomme @Please_Read_Me@.txt. Le libellé qu’il est légèrement différent de celui sur la fenêtre de mise en garde susmentionnées. Il dit, « ce qui ne va pas avec mes fichiers ? Oooops, vos fichiers importants sont chiffrés… » Longue histoire courte, la méthode de rétablissement suggérée par les escrocs présuppose que l’utilisateur doit payer 300 $ d’une valeur de 1 Bitcoin et puis exécuter une application appelée @wanadecryptor@.exe, qui est déposée sur l’ordinateur lors de l’attaque.
Pour se protéger de se terminer, le virus WannaCry affiche quelques conseils sur le nouveau fond d’écran. Il explique comment il a eu lieu, si la suite de logiciel anti-programme malveillant de la victime avait enlevé l’outil Wana Decrypt0r. Le message Bureau spécifie les instructions pour re-lancer l’exécutable malveillant afin de pouvoir avancer avec décryptage par l’intermédiaire de paiement. Dans l’ensemble, l’attaque semble bien pensé peu importe comment vous le trancher, ce qui suggère que la campagne est exploitée par des acteurs de menace avec fond d’extorsion de fonds importants. La distribution techniquement complexe via RDP constitue une autre preuve que les escrocs ne sont pas les rookies dans ce qu’ils font. Si l’industrie de la sécurité fait face à un autre adversaire habile, et j’espère que les chapeaux blancs vont s’ingénier une méthodologie compensatrice très bientôt.
Pendant ce temps, WannaCry reste infectant les organisations et les utilisateurs finaux à grande échelle. Parmi les victimes un fournisseur espagnol telco et un certain nombre d’institutions de soins de santé britanniques. Bien sûr, la meilleure défense est ne pas de s’infecter en premier lieu. Si le compromis a eu lieu, les instructions ci-dessous sont le point de départ pour le dépannage.
Suppresseur automatique du virus WannaCry
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers WannaCry
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer les fichiers cryptés .WNCRY
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier WannaCry crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifier si le ransomware WannaCry a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.