Вечером 12 мая, глобальная сеть подверглась нападению программы-вымогателя под названием «Wannacry». Вирус захватил файлы пользователей и потребовал оплату в Биткоинах, чтобы предоставить доступ. К 17:00 14 мая более чем 20 миллионов пользователей в 100 странах подверглись атаке, большое число организаций и предприятий было выведено из нормального функционирования. Говорят, что некоторые элементы «Wannacry» приходят из инструментов, пропущенных из NSA.

К 15 мая «WannaCrypt» атаковал более чем 100,000 предприятий и общественных организаций в более чем 100 странах, включая 1,600 американских организаций и 11,200 российских. В Китае зараженные организации и учреждения покрыли почти всю территорию и различные отрасли, такие как университеты и колледжи, железнодорожные станции, терминалы самообслуживания, почтовые службы, автозаправочные станции, больницы и правительственные сервисные терминалы, количество зараженных компьютеров, продолжает расти.

Быстрое реагирование для восстановления пользовательских потерь

Как лидер цифровой криминалистики и эксперт по кибербезопасности в Китае, «Meiya Pico» отправила свою первую команду реагирования для решения: 1) опубликуйте рекомендации о защите от вируса через  официальный канал – социальная сеть «WeChat»; 2) исследовательская группа компьютерной криминалистики часами работала над особенностями вируса и днем следующего дня (14 мая) после атаки они достигли значительного прорыва и узнали, как работает этот вирус: он шифрует данные компьютера после того, как прочитает их в памяти компьютера, после чего зашифрованные данные сохраняются на жестком диске, в то время как исходные файлы удаляются, т.е. исходные файлы не шифруются напрямую, а удаляются программой-вымогателем, в то время как зашифрованные файлы представляют собой дубликат.

Основываясь на результатах исследования «Meiya Pico», выпустила новые версии двух продуктов, Мастер Восстановления и Мастер Криминалистики, которые поддерживают восстановление данных на инфицированных  компьютерах и могут восстановить большинство или почти все данные при определённых обстоятельствах. На данный момент оба программных обеспечения, Китайская и Английская Версии доступны для скачивания по всему миру. Не большие утилиты буду выпущены в общество для того, что бы помочь пользователям восстановить данные.

«Meiya Pico» идёт в ногу со временем в разработке решений

1. Растущая тревога

Днем 13 мая, «Meiya Pico» через свой  официальный канал опубликовала статью «Несколько Маленьких Рекомендаций для Предотвращения Вымогательств», после кибератаки вирусом-вымогателем, советуя жертвам изолировать свои компьютеры от сети, для того чтобы удержать вирус и не инфицированным компьютерам принять меры по предотвращению атаки.

Советы для защиты

1. используйте системный файрвол

2. закройте порт 445, 135, 137, 138, 139

3. откройте систему для автоматического обновления

4. исправить в ручную

5. адрес исправления: https://technet.microsoft.com/zh-cn/library/security/MS17-010 ;

адрес исправления для Win XP и Win сервер 2003 вне гарантии:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?from=groupmessage&isappinstalled=0 (К 8:00 15 мая статью прочитали более 100 000 человек, что играет важную роль в предотвращении атак на большее число пользователей)

6. используйте программу «EternalBlue» незамедлительно исправляющую ошибку, пароль от zip www.meiyapico.com

2. Прорыв в исследовании после того, как вирус прорвался

После того, как вирус прорвался, команда компьютерной криминалистики «Meiya Pico» работала день и ночь, чтобы быть в ногу со временем. Вечером 14 мая команда выяснила способ атаки и изложила 2 руководства по восстановлению данных. Сразу же, бесплатное программное обеспечение для восстановления данных, доступное для пользователей по всему миру, было выпущено официальным каналом «Meiya Pico» Wechat. Статью просмотрели более 150 000 человек. Между тем, техническая онлайн-служба работает круглосуточно, обеспечивая поддержку и помощь нашим клиентам.

3. Внимательно следит за тенденцией

«Meiya Pico» собирается выпустить больше инструментов для пользователей, защищающих от атак, а также внимательно следить за последними тенденциями и затем предоставить эффективно скоординированные решения.

Детали технического прорыва

1.Исследование процесса шифрования «WannaCry»

Команда компьютерной криминалистики «Meiya Pico» использует виртуальную машину для имитации процесса заражения системы. Создайте новую виртуальную машину и скопируйте несколько документов и образцов вирусов.

Возьмите на себя инициативу представить образцы вирусов. Наша команда заметила, что каталог, в котором находится тестовый файл, генерирует имя файла с суффиксом WNCRY, которое соответствует исходному имени файла. Кроме того, ключи рабочего стола могут иметь модифицированный подключ для обоев, который впоследствии будет изменен на! WannaCryptor!. Bmp:

Со временем вы увидете, что исходные файлы в системе были удалены, оставив только зашифрованные файлы и интерфейс, который говорит вам заплатить выкуп. Файлы, зараженные вирусом «WannaCry», шифруются алгоритмом шифрования AES + RSA's, который очень трудно взломать методом перебора.

Но проведённые, на данный момент исследования, раскрыли принцип действия этого вируса: прочтение исходного файла в памяти, завершение шифрования, запись на жесткий диск, удаление исходных файлов и сохранение зашифрованных файлов. Примечание. Ваши исходные файлы не шифруются напрямую, а удаляются хакерами. Файлы, оставленные в памяти, являются зашифрованной копией.

2. Восстановление данных Зараженного компьютера методом Теста

Узнав, как работает вирус, команда проверила и успешно реализовала два способа сохранения данных.

2.1 через принцип восстановления удаленной файловой системы.

Вирус «WannaCry» удаляет исходные файлы с помощью обычного процесса удаления файлов. Восстановление данных может быть предпринято по принципу удаления файловой системы. Это тот способ, который в настоящее время некоторые охранные компании предоставляют в стране. Однако ограничением этого подхода является то, что вы должны убедиться, что исходный файл не охватывается новыми данными. Если последующие операции чтения и записи в файл более работоспособны, восстановление данных может завершиться неудачей. Восстановление данных не стабилизировано.

2.2 Восстановление из теневого копирования данных.

В тех случаях, когда данные не могут быть восстановлены обычным способом, мы все же можем попытаться использовать другой метод, службу теневого копирования тома. Теневая копия тома - это служба резервного копирования открытых файлов по умолчанию в системе Windows. Эта служба была представлена в W XP / 2003. Windows 2003 Сервер/Виста усовершенствовала эту службу. В Windows 7/8 / 8.1 / 10 все версии открыты по умолчанию, и историческая версия файла может быть сохранена при определенных условиях.

По данным Интернета, вирус «WannaCry» после запуска сможет зашифровать файлы определенного типа, а также удалить данные из тома теневых данных в системе.

Но путем реальных испытаний наших исследователей. В некоторых версиях (в основном 64-битных) теневая копия не стирается.

Если на зараженном компьютере все еще есть копия теневых данных тома, вы можете «восстановить» соответствующие данные, определенным образом прочитав и экспортировав историческую версию файла. Если накануне заражения компьютер создал резервную копию по умолчанию в загрузочной системе, то более вероятно, что будет достигнуто 100% восстановление данных.

3. Операция восстановления данных «WannaCry»

Чтобы сделать работу пользователя более удобной, основываясь на результатах исследований и испытаниях, технические исследователи компании «Meiya Pico» добавили специальную функцию для запуска специальной версии криминалистиких продуктов «Forensics Master» и «Recovery Master», поддерживающих одно-ключевой анализ компьютеров зараженных вирусом «WannaCry» для завершения двух видов методов восстановления данных. (Особое примечание перед операцией: если компьютер заражен вирусом, немедленно отключите сеть и избегайте дальнейшего распространения инфекции. Рекомендуется восстанавливать ее в среде только для чтения.)

Перед восстановлением вам необходимо создать файл образа вашего зараженного жесткого диска или просто разобрать зараженный жесткий диск и подключить его через блокировщик записи к другому незараженному компьютеру, а также установить «Forensics Master» на этот компьютер.