WANNACRY Ransomware - Wana Cry Decrypt0r
¿Qué es Wanna Cry?
¿Cómo entró en mi sistema?
¿Es posible recuperar documentos .WCRY?
ENLACE: Preguntas y respuestas frecuentes sobre las infecciones de Mobef y KEYCHAIN
Historia de Wana Decrypt0r 2.0 - WannaCry - WCRY:
WannaCry, también llamado WanaCypt0r, WannaCypt0r, WCry, Wannacry Decrypter y Wannacry Decrypt0r debido a la pantalla que aparece en la máquina infectada, es una versión muy reciente y muy agresiva de ransomware.
Después de su ejecución, todos los archivos y documentos en la computadora o red afectada se cifran haciéndolos ilegibles.
La extensión de los archivos también cambia, por ejemplo, un archivo infectado llamado "sample.jpg" se convierte en "sample.jpg.WNCRY".
El fondo del escritorio se cambia a:
Una vez que el sistema está infectado, el ransomware instala una serie de programas, incluido @WanaDecryptor@.exe, y se agrega al registro de Windows para que siempre esté activo cada vez que se reinicia la máquina. Infecta datos, involucrando también dispositivos de almacenamiento conectados como discos duros externos y memorias USB; también afecta los volúmenes de imagen del sistema operativo creados previamente, bloqueando el acceso a las utilidades de reparación del sistema.
De hecho, por lo tanto, hace que el sistema sea completamente inutilizable al pedirle al usuario una suma de dinero para desbloquearlo y recuperarlo.
Los archivos con las siguientes extensiones están encriptados:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
¿Cómo es distributed Wanna Cry / WanaCry / Wana Decrypt0r?
En la mayoría de los casos son spread a través de ataques directos al puerto RDP/SMB, en máquinas y servidores que utilizan uno de los siguientes sistemas operativos:
Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (diciembre de 2005)
Windows Server 2008 (febrero de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)
Windows Server 2012 R2 (octubre de 2013)
Windows Server 2016 (septiembre de 2016)
A menudo se propagan a través de correos electrónicos infectados, archivos de Word comprometidos, javascript y spam de imágenes de Facebook.
Cómo descifrar archivos cifrados porWana Decrypt0r 2.0 - WannaCry - WCRY ?
¿Puedes recuperar mis datos?
¡Sí, podemos recuperar todos sus archivos!
Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y posiblemente su número de teléfono; ¡Te responderemos lo más pronto posible!
FAQ: Preguntas y respuestas comunes a las infecciones de WCRY, reportadas por nuestros clientes:
Mi contraseña RDP era muy segura, ¿cómo la encontraron?
Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, por lo general muy segura, no hay effect protection as se utilizan exploits en el puerto RDP, lo que permite de manera efectiva eludir la contraseña.
La cuenta de administrador fue deshabilitada, ¿qué pasó?
A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?
Todo esto sucede a través de una "escalada de privilegios", es decir, te conectas a través de un usuario "normal", se elevan los privilegios de este usuario que a su vez crea o reactiva la cuenta de administrador, a la que te conectarás más tarde para realizar el cifrado._cc781905-5cde -3194-bb3b-136bad5cf58d_
Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban?
¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet.
Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.
El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio?
Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000 buscando el servicio RDP.
¿Qué puedo hacer para protegerme de futuros ataques Wana Decrypt0r 2.0 - WannaCry - WCRY?
Los dos consejos que damos a nuestros clientes para protegerse de la infección son:
- cierre inmediatamente el servicio RDP en todas las máquinas locales y remotas
- instale nuestro script de protección contra ransomware, más informaciónAQUÍ
¿Dónde han ido mis copias de seguridad? E máquinas virtuales?
Después de la infección de Mobef, los archivos .backup se eliminan y, a menudo, también las máquinas virtuales (VMware, Oracle VM VirtualBox etc.), que se inician y luego se eliminan o cifran._d04a07d8-9cd1- 3239-9149 -20813d6c673b_
¿Tiene alguna otra pregunta o necesita más información?
Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.
¿Existe una herramienta gratuita para recuperar archivos?
¡SI! puede descargarlo en nuestro sitio en esteENLACES, escríbanos para obtener la contraseña.
Fondo de escritorio cambiado por Wana Decrypt0r - WannaCry - WCRY
Captura de pantalla después de Wana Decrypt0r 2.0 - Infección WannaCry
Archivos cifrados después de la infección @WanaDecryptor@.exe
Borrar
Criptobloqueadores
cerrojos
Fobos
Impostor del globo
FÁCIL, RÁPIDO, SEGURO