Вариант 1. Используйте утилиту WanaKiwi, если компьютер не перезагружался после заражения, а версия ОС — Windows XP или x86 Windows 7, 2003, Vista, Server 2008 и 2008 R2

Если компьютер с операционной системой Windows не перезагружался, то данные да нем можно сохранить минуя выкуп, требуемый вирусом WannaCry. Ключ к решению содержится в самой операционной системе, — заявляют специалист по интернет-безопасности Quarkslab Адриен Гине, всемирно известный хакер Мэтт Сюиш и фрилансер Бенжамен Дельпи. Сама система предотвращает уничтожение файлов по истечению срока, назначенного для уплаты выкупа. Этот метод используется во всех версиях Windows. Новый инструмент для сохранения данных специалисты назвали Wanakiwi . В своем блоге Мэтт Сюиш опубликовал подробности применения открытого способа борьбы с вирусом, описав все технические детали.

Источник: https://usa.one/2017/05/francuzskie-specialisty-nashli-sposob-soxranit-fajly-na-kompyuterax-zablokirovannyx-virusom-vymogatelem/ » Французские специалисты нашли способ сохранить файлы на компьютерах, заблокированных “вирусом-вымогателем” © Новости США на русском

На базе WannaKey был создан инструмент wanakiwi, который работает не только с Windows XP, но и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Также его эффективность уже подтвердили специалисты Европола.

К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».

Источник: https://xakep.ru/2017/05/19/wanakiwi/ » Появился еще один дешифровщик для WannaCry, подходящий для Windows XP и 7

WannaKey si WanaKiwi -Tool gratuit pentru decriptarea calculatoarelor infectate de WannaCry

Скачайте утилиту wanakiwi для расшифровки файлов, зашифрованных WannaCry, здесь.

Вариант 2. Используйте утилиту Shadow Explorer для возможного восстановления части зашифрованных файлов.

Существует небольшой шанс самостоятельно восстановить зашифрованные файлы при следующих условиях:

1. если система восстановления Windows не была отключена;
2. если в системе Windows был включен UAC (контроль учетных записей) и на запрос от шифровальщика WannaCry пользователь не ответил согласием (была нажата кнопка Нет или No — пример на скрине);
3. или если процесс шифрования был по какой-то причине прерван, в результате чего Wana Decrypt0r 2.0 не смог удалить теневые копии файлов.

Для проверки возможности восстановления зашифрованных файлов после WannaCry воспользуйтесь утилитой Shadow Explorer.

Инструкция по работе с утилитой (на английском языке).

Вариант 3. Используйте утилиту Disk Drill для возможного восстановления части зашифрованных файлов.

Далее представлен машинный перевод следующей статьи: https://medium.com/threat-intel/wannacry-ransomware-decryption-821c7e3f0a2b

Не все файлы не восстанавливаются

Это объясняет, почему были утверждения, что некоторые инструменты доступны для расшифровки всех файлов, заблокированных WannaCry. К сожалению, из нашего анализа того, как работает это вымогательство, кажется, что только несколько файлов, зашифрованных демо-ключом, могут быть расшифрованы инструментом.

Но может быть какая-то надежда. Файлы, хранящиеся на Рабочем столе, Моих документах или на любых съемных дисках компьютера во время заражения, перезаписываются случайно сгенерированными данными и удаляются. Это означает, что восстановить их с помощью средства восстановления файлов или восстановления диска невозможно.

Однако из-за возможных слабых мест в вредоносном ПО можно восстановить другие зашифрованные файлы в системе, когда они были сохранены за пределами этих трех местоположений, используя средство восстановления диска, так как большинство файлов перемещаются во временную папку и Затем, как правило, удаляется, но не перезаписывается с помощью очистителя. Однако коэффициент восстановления может отличаться в разных системах, поскольку удаленный файл может быть перезаписан другими операциями с дисками.

Короче говоря, можно восстановить некоторые файлы, которые были зашифрованы с помощью WannaCrypt, но не заплатили выкуп, однако восстановление всех файлов без резервного копирования в настоящее время представляется невозможным.

В качестве примечания по безопасности, будьте осторожны с любыми сервисами, предлагающими расшифровать все файлы и т. Д., Так как эти расшифровщики вполне могут быть скрыты вредоносными программами.

Мы проверили восстановление файлов с помощью средства восстановления диска Disk Drill , на скриншоте ниже показаны удаленные файлы, которые были обнаружены и восстановлены с помощью этого инструмента:

https://securelist.ru/30858/wannacry-mistakes-that-can-help-you-restore-files-after-infection/

https://securelist.ru/30858/wannacry-mistakes-that-can-help-you-restore-files-after-infection/

Ошибки в WannaCry, которые помогут восстановить файлы после заражения

Иногда создатели программ-вымогателей допускают ошибки в коде. Эти ошибки могут помочь пострадавшим вновь получить доступ к своим файлам после заражения. В нашей статье кратко описываются несколько ошибок, допущенных разработчиками вымогателя WannaCry.