Восстановление файлов после вируса wanna cry. WannaCry (.wcry) – вирус года. Что это такое и как это удалить. WannaCry – что это такое и как от него защититься

Обычно сотрудники пользуются одинаковыми программами. У всех стоит одна и та же CRM (или таск-мессенджер), все пользуются одним почтовиком и выходят в интернет на одинаковых браузерах. Каких именно - решает системный администратор или лично руководитель.

Но при этом сисадмин вынужден вручную настраивать браузер каждого сотрудника. Да и сами браузеры обычные - со стандартным функционалом, вне зависимости от разработчика. В марте 2017 года компания Яндекс решила это исправить и выпустила корпоративную версию Яндекс.Браузера.

Яндекс.Браузер для организаций

По основному функционалу корпоративный браузер не отличается от обычного. В нём так же можно выходить в интернет, открывать вкладки, добавлять сайты в закладки. Отличия в другом.

1. Групповая политика. У всех браузеров компании - единый «пульт управления», которым заведует сисадмин. Групповая политика позволяет сисадмину отрегулировать доступ к сайтам, сервисам, контенту и т.д. для всех сотрудников сразу. Специалистов можно условно объединить в группы (например, по отделам) и настроить для каждой группы свои права доступа.
2. Интеграция с другими сервисами и системами. Браузер можно сразу «модифицировать»: например, установить специальные расширения для бухгалтерии или сотрудников склада. Настроить ссылки на внутренние сервисы компании тоже можно. Браузер превращается в своеобразное «единое окно», где сотрудники решают большую часть рабочих задач, не переходя в другие программы.
3. Улучшенная кибербезопасность. Например, стандартный браузер только предупреждает об опасных сайтах, а корпоративный может их не открывать, если это запретит сисадмин. В результате снижается значение человеческого фактора. Ещё корпоративное решение лучше защищает от фишинга и других видов мошенничества.

Полный список возможностей - в блоге Яндекса для вебмастеров .

Корпоративный браузер настраивается «под себя» куда лучше, чем стандартная версия. Если усовершенствовать его под нужды компании - сэкономит массу рабочего времени сотрудников.

Сколько это стоит?

Корпоративный браузер от Яндекс бесплатный - можно ставить и пользоваться. Но придётся заплатить за интеграцию с другими системами. Сумму назвать сходу нельзя - она зависит от количества отделов и сотрудников в компании, внутренних сервисов, сложности внедрения.

Интеграторам есть где развернуться. По заявкам компаний Яндекс.Браузер можно переделать почти полностью, начиная от сторонних интеграций и заканчивая интерфейсом.

Нужен ли корпоративный браузер вам?

В апреле 2017 года руководство Сбербанка решило установить Яндекс.Браузер на компьютеры всех офисных сотрудников (более 50 000 человек). Постепенно этот браузер устанавливают и в отделениях обслуживания Сбербанка.

Для большого бизнеса корпоративный браузер идеален. Он помогает сотрудникам работать быстрее и эффективнее с десятками сервисов, надёжно защищает данные и экономит время на настройке. В сравнительно небольших компаниях этот эффект не так выражен, но всё равно здорово упрощает жизнь системным администраторам.

Попробуйте его в деле, если готовы к экспериментам.

Корпоративная версия браузера, созданная для организаций.

Специальная корпоративная версия Яндекс.Браузера, предназначенная для использования в организациях.

Рис. 1. Табло Яндекс.Браузер

Основным преимуществом новой сборки Яндекс.Браузера является возможность централизованно установить и настроить браузер во всей организации с помощью групповых политик - правил, которые распространяются на все компьютеры сети. Кроме того, возможно изменение внешнего вида браузера, интеграция его во внутренние системы организации и предустановка необходимых расширений.

Рис. 2. Умная строка

Рис. 3. Технология активной защиты Protect

Рис. 4. Настройки Яндекс Браузера

В дополнение, разработчики Яндекс.Браузера запустили сервис Конструктор , который позволяет быстро настроить корпоративную сборку браузера для организаций. При помощи Конструктора вы можете указать визуальные закладки, выбрать фон, включить/отключить ленту персональных рекомендаций Дзен, включить необходимые дополнения и скачать получившийся дистрибутив.

Браузер доступен для Windows XP Service Pack 3 и более поздних версий.

Ситьюэйшн: Проблема

Наша компания «ЛАНИТ-Интеграция» участвовала в проекте у заказчика «н» – необходимо было опубликовать набор внутренних приложений для сотрудников, которые используют разнообразные устройства для доступа – от ноутбуков до планшетов. Все шло неплохо (т.е. действительно неплохо). Все было настроено, продемонстрировано заказчику, т.е. все были довольны. Но потом что-то пошло не так.

Во время подготовки к совещанию у ведущего менеджера не заработала визуализация на внутреннем портале, когда необходимо было продемонстрировать текущую загрузку сотрудников. Нам пришлось в срочном режиме мобилизоваться и решать проблему. Здесь стоит отметить, что сотрудники в компании заказчика используют не просто Sharepoint, Oracle и Битрикс, но и безудержно веселятся каждый по-своему в разных версиях, а команды разработчиков разбросаны по регионам и сфокусированы в большей степени на своих внутренних задачах.

В поисках источника проблемы мы протестировали все, что можно протестировать, и немного больше. Визуализация, как и правила публикации, работают в нормальном режиме. Не получалось сразу подключиться к «проблемному» ПК. Поскольку политиками информационной безопасности запрещен удаленный доступ, пришлось делать для нас исключение. Не составило большого труда выяснить, что загвоздка была в браузерном пристрастии конкретного пользователя. Здесь все достаточно прозаично: в фокусе тестировщиков оказались два браузера последних версий для последующей проверки на совместимость с порталом. Проблема в том, что разные пользователи испытывают нежные чувства к разным браузерам. И чувства эти редко разделяются разработчиками софта. В итоге выходит, что нововведения, прекрасно функционирующие в одной программе просмотра, абсолютно бесполезны при использовании другой: сотрудник их не находит и соответственно не применяет. Кровь и пот программистов потрачены зря, автоматизация бизнес-процессов – ноль.

Разумеется, проблема была решена при выявлении, но нас было не остановить, ибо мы решили продвинуться дальше и сфокусировались на следующих задачах:

• принять за корпоративный стандарт один браузер и проводить тестирование и разработку только с ним и под него;
• произвести интеграцию с внутренней ИТ-инфраструктурой;
• распространять настройки централизованно, чтобы все сотрудники не звали каждый раз «тыжпрограммистов».

Решение. Статус «В активном поиске»

Собрали рабочую команду. Решили начать с анализа рынка браузеров. Само собой, основным критерием для нас была популярность . Желательно, чтобы часть пользователей с браузером уже работала, ну или, на худой конец, о нем слышала. Согласно статистике OpenStat, liveinternet и Hotlog, лидеры десктопных обозревателей в рунете выглядят так:

• Google Chrome,
• Яндекс.Браузер,
• Safari,
• Mozilla Firefox,
• Opera,

От Safari отказались сразу: пользователей с маками у нас совсем не большинство. IE Edge тоже выкинули из списка, потому что у нас работает множество почитателей Windows 7 (no offence).

В общем, с участниками забега определились.

Мы взяли параметры, критичные для реализации идеи, и разбавили их приятными сердцу мелочами. В результате небольшого исследования у нас родилось следующее:

(Примеры бенчмарков: первый , второй).

Рынок браузеров уже достаточно зрелый, поэтому неудивительно, что их возможности пересекаются на 80-90%. Все по умолчанию предлагают автообновления, менеджер паролей и встроенную защиту при серфинге (проверка репутации веб-сайтов и загружаемых файлов на наличие зараженного контента). Все позволяют организовать достаточно удобный процесс администрирования для централизации и автоматического распространения как самого браузера на ПК, так его настроек. Поскольку мы заботимся об экономистах, маркетологах, юристах и бухгалтерах, нам это важно.

Поддержка ОС и разрядность нам также важна, поскольку в компаниях целый зоопарк компьютеров и ОС, начиная от Windows 7-10 и заканчивая отечественными разработками на базе Linux – AltLinux.

По результатам сравнения мы выделили двух аутсайдеров: Internet Explorer, поскольку, повторюсь, нам важна мультиплатформенность, и Opera, в которой поддерживается только разрядность х86.

В итоге до финиша дотянула вот эта тройка:

• Google Chrome,
• Mozilla Firefox,
• Яндекс.Браузер.

Далее следовал этап совещаний с коллегами, которые немного увлеклись (сейчас не об этом), но все же привнесли парочку качественно важных требований к корпоративному браузеру:

• интеграция с внутренними ресурсами, в том числе, интеграция поисковой строки с порталами;
• настройка на главной странице виджетов с ссылкой на определенные сервисы и сайты с учетом потребностей отдельных функциональных групп сотрудников (кастомизация под разноплановые отделы, да);
• брендирование браузера, раз уж речь идет про корпоративный стандарт.

Ситьюэйшн: Решение

Новые вводные несколько изменили положение вещей. Конечно, первая мысль, возникшая по итогам совещания, - создать собственное решение. От нее, больше к счастью, чем к сожалению, пришлось отказаться. Даже поверхностные прикидки по затратам человеко-часов с учетом загрузки на внешних проектах показали, что завершим мы разработку где-то в ближе к концу этого столетия.

С другой стороны, зачем изобретать колесо? Есть ведь уже готовые решения. Почему бы не доработать до корпоративного продукта именно их?

Целесообразность дальнейшей аналитики и сопоставления теперь уже непосредственно корпоративных решений браузеров стремится к нулю. Поскольку, по сути, наши критерии были указаны выше и скрупулезно разложены по полочкам, осталось понять, с какой командой разработчиков из тройки финалистов мы могли бы максимально продуктивно сработаться. Пара дней брейнсторминга не помогла. Но иногда, если упорно лежать в направлении мечты об идеальном корпоративном браузере, что-то произойдет. Так и случилось – в скором времени к нам постучался Яндекс со своим новым предложением.

Таким образом, решением нашей задачи стал продуктивный симбиоз: Яндекс.Браузер для организаций в нашей корпоративной версии позволяет осуществлять интеграцию с внутренними ресурсами, обеспечивать необходимый уровень безопасности, реализовывать индивидуальную настройку виджетов и использовать корпоративный стиль заказчика при оформлении.

С учетом скорости, с которой меняется законодательство, не исключено, что требование хранить данные на территории России скоро коснется не только государственных организаций, но и простых смертных. А посему то, что серверы, с которыми синхронизируется браузер, и откуда идет загрузка обновлений, располагаются на просторах нашей необъятной Родины, вообще не лишне. В любом случае, на данный момент - это единственный продукт подобного рода с открытым кодом, что позволяет его сертифицировать и рекомендовать для установки даже в организации с повышенным чувством долга перед Отечеством.

Добавим к этому наличие официальной поддержки, в которую может обратиться любой пользователь, даже не владеющий разговорным хиндиглийским: все специалисты говорят на чистом русском языке (T for Tolerance, но без обид). Это, кстати, большая редкость в наше время.
А потом настал час X – мы дружно засели собирать решение, начав с ИT-отдела и закрепив пройденное с бухгалтерией.

От Yandex нам достались чудесные msi-пакеты, для последующей доработки и распространения которых мы решили использовать Microsoft System Center, хотя никто не станет возражать, если они пойдут через групповые политики или тот же самый Altiris для Windows, а для Linux-систем - Ansible и Puppet. Никаких сложностей здесь возникнуть не должно, главное - соотнести их с функциональной группой (отделом, если угодно) и указать пару параметров.

Anyway, сначала нужно зайти на клиентский компьютер под учеткой (в данном случае) ИТ-специалиста, перейти на портал самообслуживания, где отобразится назначенное для этого пользователя приложение, готовое к установке.

После установки перед пользователем откроется настроенное табло с доступом к веб-интерфейсам консолей администратора, что включает систему мониторинга, виртуализации и т.д., а также базовый пакет с почтовой системой, внутренним порталом и Service Desk-ом. Как вы понимаете, для бухгалтера на место мониторинговых систем приходят MC Dynamics, 1C и прочие прелести.

Что касается синхронизации, то мы налинуксовали синхронизацию с Windows, Windows - Windows, Linux - Windows и Linux - Linux соответственно. На данный момент возможно синхронизировать все активные сессии (все те открытые табы, которые видны в специальном разделе меню «настроек», закладки, настройки, пароли, автозаполнение форм, темы, напечатанные URL (история, строго говоря), поиск по умолчанию, расширения и кое-что еще (саспенс и интрига). Локальную синхронизацию мы включаем отдельной политикой, в параметрах которой можно задать путь к папке с синхронизируемыми данными. Если включить данную политику, автоматически отключится возможность синхронизации с серверами Яндекса, как таковыми. И уже совсем другая политика отключает UI входа в синхронизацию с серверами Яндекса.

В принципе, на этом этапе можно закругляться, хотя нам есть еще что рассказать про включение локальной синхронизации, тонкости брендирования, компоновку тумб, сборку поискового сервиса, который ищет не только в интернете, но и во всех системах заказчика и многое другое. Так что, если вам это интересно, дайте знать - мы с радостью поделимся опытом и опишем решения в следующей статье.

Ждем ваши замечания (чуть меньше) и комментарии (чуть больше). Спасибо и всем кармы.

Статья написана вместе с

Корпоративная версия браузера, созданная для организаций.

Специальная корпоративная версия Яндекс.Браузера, предназначенная для использования в организациях.

Рис. 1. Табло Яндекс.Браузер

Основным преимуществом новой сборки Яндекс.Браузера является возможность централизованно установить и настроить браузер во всей организации с помощью групповых политик - правил, которые распространяются на все компьютеры сети. Кроме того, возможно изменение внешнего вида браузера, интеграция его во внутренние системы организации и предустановка необходимых расширений.

Рис. 2. Умная строка

Рис. 3. Технология активной защиты Protect

Рис. 4. Настройки Яндекс Браузера

В дополнение, разработчики Яндекс.Браузера запустили сервис Конструктор , который позволяет быстро настроить корпоративную сборку браузера для организаций. При помощи Конструктора вы можете указать визуальные закладки, выбрать фон, включить/отключить ленту персональных рекомендаций Дзен, включить необходимые дополнения и скачать получившийся дистрибутив.

Браузер доступен для Windows XP Service Pack 3 и более поздних версий.

12 мая примерно в 13MSK разорвалась «бомба», началось распространение вируса Wana Decryptor. Практически за несколько часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России.

К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать используя такие программы как ShadowExplorer и PhotoRec.

Как правильно называть этот вирус шифровальщик Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r ?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которой от текущей (2.0) был способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.

И последним именем, которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Как Wana Decryptor проникает на компьютер?

Причиной быстрого распространения Wana Decrypt0r шифровальщика является наличие уязвимости в службе SMB операционной системы Windows. Эта уязвимость присутствует во всех современных версия Windows, от Windows 7 до Windows 10. Ещё 14 марта 2017 г. было выпущено обновление «MS17-010: Обновление безопасности для Windows SMB Server» (ссылка), но как показывает скорость распространения вируса, это обновление было установлено далеко не на все компьютеры.

Поэтому, если вы ещё не установили обновление MS17-010, то сделать это нужно как можно быстрее! Wana Decrypt0r распространяется просто с сумасшедшей скоростью, и без этого патча ваш компьютер становится абсолютно открытым для заражения.

Как WanaDecryptor зашифровывает файлы на компьютере?

При своем запуске WNCRY вирус шифровальщик первым делом распаковывает свой инсталлятор, в котором находятся следующие файлы:

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry

После чего достает из архива сообщение об выкупе на том языке, который использует пользователь компьютера. На настоящий момент Wana Decrypt0r поддерживает следующие языки:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

Далее WanaCrypt0r вирус скачивает TOR браузер, который используется для связи с серверами управления вируса-шифровальщика. Когда этот процесс выполнен, вирус выполняет команду, с помощью которой устанавливает полный доступ ко всем доступным каталогам и файлам. Это необходимо для того, чтобы зашифровать как можно больше файлов на зараженном компьютере.

На следующем этапе WanaDecryptor завершает процессы со следующими именами mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange*, Microsoft.Exchange.*, чтобы зашифровать и все базы данных находящиеся на инфицированном компьютере.

Закончив описанные выше подготовительные этапы, вирус переходит уже к самому процессу шифрования. В его процессе шифруются файлы со следующими расширениями:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Кстати, исходя из списка расширений, в котором не присутствует расширения для популярной в России программы 1С, можно сделать вывод, что вероятнее всего вирус был создан не российскими программистами.

Когда какой-либо файл зашифрован, к его имени добавляется расширение «.WNCRY». То есть, если до зашифровки файл имел имя «картинка.bmp», то после того как файл зашифрован, его имя будет изменено на «картинка.bmp.WNCRY».

Когда все файлы в каталоге зашифрованы, вирус шифровальщик помещает в этот же каталог ещё пару файлов, это @[email protected] — содержит инструкцию по-расшифровке файлов и @[email protected] — дешифровщик зашифрованных файлов.

На заключительном этапе своей работы, WanaDecryptor вирус пытается удалить теневые копии всех файлов и другие возможности восстановить файлы, которые ранее были зашифрованы. Так как эта операция требует полных прав, то операционная система показывает предупреждение от службы UAC. В случае, если пользователь ответит отказом, то теневые копии файлов не будут удалены и появится возможность полностью восстановить зашифрованные файлы абсолютно бесплатно. Подтверждением этому является несколько сообщений от пользователей на форуме фан клуба антивируса Касперского.

Как восстановить зашифрованные WNCRY файлы?

Как уже было сказано ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec. Подробно процесс их использования описан в этом руководстве .

Если у вас возникли вопросы или ваш нужна помощь, то можете создать новую тему на нашем форуме или оставить комментарий ниже.

Как предотвратить заражение компьютера вирусом-шифровальщиком Wana Decryptor ?

Сначала вам необходимо закрыть уязвимость в операционной системе, установив обновление MS17-010, ссылку на которое вы можете найти в начале этой статьи. Если установить обновление невозможно, значит отключите использование протокола SMBv1 (Как включить и отключить SMBv1, ссылка) или в файрволе заблокируйте входящие соединения на порт 445.

Для организации полноценной защиты компьютера вам необходимы, как минимум бесплатный антивирус (смотрите эту статью ) и программа для борьбы с вредоносным ПО (смотрите эту статью ). Мы рекомендуем использовать Zemana Anti-malware или Malwarebytes. Полные версии этих программ так же включают дополнительный модуль, блокирующий запуск вирусов шифровальщиков.