• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Поймала шифровальщика - wannacash.

Статус
В этой теме нельзя размещать новые ответы.

versache97

Новый пользователь
Сообщения
3
Реакции
0
здравствуйте, помогите мне, пожалуйста,
Поймала шифровальщика - wannacash.
Файлы .xls .doc .docx .jpg .pdf .pptx и др. зашифровал как: - Файл зашифрован [2.jpg].wannacash .zip
Цель:
Расшифровать файлы.
зашифровано 10 ГБ
внизу прикрепляю файлы что показала программа Farbar Recovery Scan Tool.
цель: убрать это с компа, если возможно, чтобы можно было дальше работать с текстоввыми документами и если возможно спасти несколько документов вордовских
Подозреваю файл "Ключи активации на 365.zip". на всех защифрованных файлах при открытии зип документы видно: Файл зашифрован. Пиши. почта: justsurrender@rape.lol | tox chat (https://tox.chat) : 6DAE1649D7DFE6B22CACF937168F1CB397CA0D634081D6A17F810E62C3992812984C2DBFB63F
 

Вложения

Пару зашифрованных файлов прикрепите и ждите ответа @thyrex
 
User (S-1-5-21-3853529125-193656012-1190428804-1000 - Administrator - Enabled) => C:\Users\User - ваше?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3853529125-193656012-1190428804-1000\...\MountPoints2: J - J:\BELOFF.exe
    HKU\S-1-5-21-3853529125-193656012-1190428804-1000\...\MountPoints2: {aea354d9-9d05-11e5-b9dc-bc5ff4d81241} - L:\Lenovo_Suite.exe
    HKU\S-1-5-21-3853529125-193656012-1190428804-1000\...\MountPoints2: {aea354dd-9d05-11e5-b9dc-bc5ff4d81241} - K:\Lenovo_Suite.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{3D02D597-229E-4C9B-AA00-E2B22D83517C}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File
    FirewallRules: [{8384448E-CC27-4093-8899-CB07D3B4305A}] => (Allow) D:\STEAM\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{B28230EF-22EF-4EBF-8652-BF22F40BD1FF}] => (Allow) D:\STEAM\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{CA265BF4-DB89-439C-9C84-52E470A5407D}] => (Allow) D:\СТИМ\Steam.exe No File
    FirewallRules: [{D2FBD6BF-6F73-4E31-A652-9EFA337A7204}] => (Allow) D:\СТИМ\Steam.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
вот зашифрованные файлы, остальные в большей степени уже с другими названиями и сомневаюсь что мои
 

Вложения

так же нашла изначальный файл проблему. после его открытия все зашифровалось
 
Дубль. Закрыто.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу