7845

Как бороться с вирусом-шифровальщиком/вымогателем Wana Decrypt0r 2.0

(Некоторая информация взята со сторонних сайтов)

Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.

1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-01...

2. Отключитесь от интернета.

3. Откройте командную строку (cmd) от имени администратора.

3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

4. Вписываете эту команду в командную строку:

netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"

4.1 Нажимаете Enter => Должно показать OK.

5. Заходите в безопасный режим

5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"

6. Найдите и удалите папку вируса

6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.

7. Перезагрузите компьютер.

8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010

8.1 Во время установки подключитесь к интернету.

Вот и всё. У меня и моих друзей всё заработало.

Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry

Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.

Дубликаты не найдены

1009 комментариев

по актуальности
+277

Поправлю команду немного. Должно быть вот так:


netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
раскрыть ветку 213
+100

Спасибо

раскрыть ветку 148
+89

А как его можно словить? откуда он появился?

раскрыть ветку 102
+12

если нет обновлений и вин10 на последней версии, то не бояться, да?

Иллюстрация к комментарию
раскрыть ветку 17
+8

Здравствуйте! Не могли бы вы рассказать также о том, зачем нужны эти протоколы и закрытие портов? Что произойдет, если закрыть порт? Как его потом обратно открыть? Если стоит пиратская версия win7, то можно ли устанавливать на нее обновления? Почитал комментарии к этому и другим постам. Сложилось впечатление, что почти у всех стоит лицензия, т.к. все обновляются в срочном порядке. Через cmd закрыл порт 445, но не обновился, т.к. думаю, что улечу в бан (пиратка стоит). Достаточно ли пока только закрыть порт и хоть на время выдохнуть? Спасибо.

раскрыть ветку 11
+1

стало страшно. вирус блокируется обновлением, которое прилетало в четверг или оно пофиксится в креаторс апдейт?

раскрыть ветку 4
0
Подскажите,пожалуйста, а то не много запутался в обновлениях. Стоит win10 creators update, на неё надо что-то ставить или оно по дефолту имеет нужный патч?
0

А закрытие порта на онлайн игр не повлияет? А то не хотелось бы. :(

0

А как сообсно определить, что словил этого гостя? Простите, что пишу именно под этой веткой.

-16
Как это сделать на моём Mac?
раскрыть ветку 6
ещё комментарии
+7

Продублирую коммент #comment_87302825

gui способ через свойства адаптера
Иллюстрация к комментарию
раскрыть ветку 5
+4
Как закрыть?
Куда надо зайти(как)?
раскрыть ветку 4
+11

Возможно, покажусь наивным или наглым, но получилось скачать обновление

Обновление качества (только система безопасности) для систем Windows 7 на базе процессоров x64 (KB4012212), март 2017 г.
Выкладываю на свой диск, что бы все, кому надо могли воспользоваться
https://drive.google.com/file/d/0B5CdVO4NUBmVMEMtM0NGTDNFR0E...

раскрыть ветку 7
0
А я вирусню подцепил и через 5минут звук пропадает. Аудио идет, видео идет,а звука нет. Чем вылечить? Может знает кто.
раскрыть ветку 5
+3

Воу, а не подскажете зачем порт блокировать если вирус удален?

раскрыть ветку 29
+31
Иммунитет все равно не появится. Хотя хз тогда, зачем этот патч
ещё комментарии
+6
Если вирус удалён и заплатка поставлена, то порт блокировать не обязательно.
0
а как обратить команду в случае чего?
0
Как его потом открыть ?
0
Как потом обратно открыть? action=allow чё-то там можно полную команду? Можно просто этот block tcp 445 удалить в настройках брандмауэра?
раскрыть ветку 1
0
Можно просто этот block tcp 445 удалить в настройках брандмауэра

Можно, в списке правил должно быть с соответствующим названием ("Block_TCP-445")

0

а для исходящих не нужно этот порт закрыть?

-2
А как включить его потом обратно? После установки патча
-70

Как бороться с вирусом-шифровальщиком/вымогателем Wana Decrypt0r 2.0.



Три слоя презервативов, обмотанных ватой, пропитанной марганцовкой....  И НИКАКИХ ИНТЕРНЕТОВ!!!! И никакой заразы не будет... Помнится, так даже от СПИДа лечились.....

раскрыть ветку 2
+10
так-то вообще никаких сетей, даже локальных
0

Красная Плесень. "С усиками..."

-260

Как же смешно наблюдать за пользователями windows , которые находятся в панике, гемор с удалением вируса, а мне нормально, я никакой вирус не поймаю, потому что у меня Mac Os X.

раскрыть ветку 10
+182

бедняжка. как же ты мучался не имея возможности выебнуться.

но слава богу, подвернулся случай, чтобы ты мог зарегистрироваться и сказать всем об этом.

Иллюстрация к комментарию
раскрыть ветку 5
+3
Есть риск заразиться, поставь патч. Зайди в терминал на маке и пропиши rm -rf / после введи пароль свой и дождись пока скачаются патчи с Эппл сервака.
раскрыть ветку 1
+5

Как же смешно наблюдать за пользователями, которые находятся в панике, гемор с удалением вируса, а мне нормально, я никакой вирус не поймаю, потому что у меня интеллект выше 100. Антивирус не установлен, компьютер 24/7 онлайн, последняя версия Windows 10.

+2
на вот:
http://www.kaspersky.ru/security-mac
слухи дошли, что Mac тож под угрозой.
ещё комментарии
+157
Иллюстрация к комментарию
раскрыть ветку 15
+2
Опачки, Энигма
-18
Данная картинка крайне в тему.

Вся шумиха вокруг данной темы это как непорочное зачатие.


Например Вин7 по умолчанию девственница, не дающая никому и на свидания приходящая с кузнецом(брандмауер).

У неё только 2 способа забеременеть - непорочное зачатие и таки дать(пользователь сам должен установить вирус).

раскрыть ветку 13
+9

Так и зачали на работе. Зашифровало половину диска на серверном хранилище. После восстановления бэкапов стали искать крайнего. И вы не поверите, бабушка божий одуванчик получила по почте странное письмо что то типо gostinitsy.exe и естественно тыкнула посмотреть что же это такое. И те окна которые у нее были открыты в этот момент тут же стали шифроваться. Хорошо что теневые копии не поленился настроить.

раскрыть ветку 6
+2
Это все хорошо, только до поры, пока бандит не смекнет, что кузнеца-брандмауэра можно зацепить бутылочкой портвухи, за жизнь поговорить, и напоить в драбодан.

А сеструшку-виндушку, тщетно пытающуюся воззвать к брату, будут в это время насиловать во все дыры.
+4

Ты не прав

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.


Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.


Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.


И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть". ©  https://geektimes.ru/post/289115/

ещё комментарии
ещё комментарии
+187

Скачал и установил обновление KB4012212. Компьютер теперь просто выдает синий экран смерти, ноутбук на той же винде работает окей. В чем может быть причина? P.S. Защитился от вируса, блять.

раскрыть ветку 69
+799

Вирус не заразит твой компьютер, если компьютер не работает *чувак с пальцем у виска.png*

раскрыть ветку 36
+120
Иллюстрация к комментарию
+78
Иллюстрация к комментарию
+105

А вот это реально смешно) Спасибо, повеселил.

раскрыть ветку 24
+98
Ваш комп не заразиться, если у вас, если у вас, если у вас нет компа.
Иллюстрация к комментарию
раскрыть ветку 7
-3
Иллюстрация к комментарию
+64

В общем, починил ПК. Для тех, кто столкнулся с такой же проблемой: скачайте образ ERD Commander 6.5 (http://soft.sibnet.ru/soft/30158-erd-comm