Как вирус WannaCry шифрует файлы?


Постараемся доступным языком объяснить, как же вирус-вымогатель WannaCry шифрует файлы на пользовательских компьютерах?

В логике его работы вируса ничего особо сложного нет. Первым делом после попадания на компьютер WannaCry распаковывает свой инсталлятор (установочный файл), в котором хранятся следующие файлы:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • taskdl.exe
  • taskse.exe
  • u.wnry

После установки вирус определяет текущий язык, который используется в операционной системе. Для России этим языком, как вы уже, скорее всего, догадались, будет русский.

Вирус WannaCry  можно считать полиглотом, он поддерживает 28 языков:

  • Болгарский,
  • Китайский (упрощенный),
  • Китайский (традиционный),
  • Хорватский,
  • Чешский,
  • Датский,
  • Голландский,
  • Английский,
  • Филиппинский,
  • Финский,
  • Французский,
  • Немецкий,
  • Греческий,
  • Индонезийский,
  • Итальянский,
  • Японский,
  • Корейский,
  • Русский,
  • Словацкий,
  • Испанский,
  • Шведский,
  • Турецкий,
  • Вьетнамский.

На следующем этапе распространения WannaCry  скачивает и устанавливает TOR-браузер, через который он будет связываться с серверами управления.

Когда этот процесс выполнен, вирус устанавливает полный доступ ко всем доступным каталогам и файлам (к которым есть доступ на чтение и запись), чтобы зашифровать как можно больше файлов на зараженном компьютере.

Следующий этап: WannaCry завершает процессы со следующими именами:

  • mysqld.exe,
  • sqlwriter.exe,
  • sqlserver.exe,
  • MSExchange*,
  • Microsoft.Exchange.*.

То есть он ещё пытается зашифровать и все базы данных, которые найдёт на инфицированном компьютере.

Закончив описанные выше «подготовительные» этапы, вирус переходит к самому главному — начинает шифровать пользовательские файлы. И здесь уже становится страшно от количества типов файлов:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

То есть здесь практические все жизненно важные для работы файлы: фотографии, видео, музыка, фото, архивы, резервные копии, текстовые и офисные документы Word, Excel, Powerpoint, файлы электронных сертификатов, исходные коды программ и многое-многое другое.

После того, как файл зашифровывается, к его имени прибавляется расширение WNCRY. Например, если файл назывался «фото с отпуска.jpg», то после «обработки» вирусом его название изменится на «фото с отпуска.jpg.wncry». И файлы превратится в тыкву…

После обработки всех файлов в каталоге, вирус помещает в него два файла:

  • @Please_Read_Me@.txt
  • @WanaDecryptor@.exe

Первый содержит инструкцию по расшифровке, второй является программой-расшифровщиком файлов.

Предупреждение UAC при заражении WanaDecrypt0r

Предупреждение UAC при заражении вирусом WanaDecrypt0r

Важно! На заключительном этапе своей работы WanaDecryptor пытается удалить все имеющиеся резервные копии зашифрованных файлов. Так как эта операция требует полных прав, операционная система показывает предупреждение от службы UAC. Если пользователь соглашается, всё пропало. Если же пользователь отвечает отказом, то резервные копии файлов не будут удалены и возможность всё бесплатно восстановить остаётся.

Думайте головой, прежде чем нажимаете какие-либо кнопки.

Читайте также:

1 комментарий

  1. ___123___Как вирус WannaCry шифрует файлы?___123___

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *