• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. поймал шифровальщик

NFL

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день, я стал следующей жертвой вредителей, поймал шифровальщик wannacash v.170720

сам шифровальщик вроде имею в архиве, боюсь открывать повторно, скачал повторно после заражения так как мой на ПК был уже зашифрован.

осталось 3 дня, что порекомендуете с этим делать? Много зашифровано фото, есть ли смысл посылать деньги зловредам, какие шансы на успех? Вопрос не в деньгах а в результате.

не могу скачать Farbar Recovery Scan Tool!!! по этой ссылки (https://download.bleepingcomputer.com/farbar/FRST64.exe)
Спасибо.
 

NFL

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Спасибо, а что по остальному? пароль на архив 123456, но не известно с какой частотой меняется шифровальщик
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Расшифровки этой версии вымогателя нет.
есть ли смысл посылать деньги зловредам, какие шансы на успех?
На ваш страх и риск. Мы не рекомендуем, могут и обмануть.

В архиве нет логов FRST. Или систему планируете переустановить?
 

NFL

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
log
А что с шифровальщиком, который в архиве, удалось изучить?
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Почистим мусор.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
MediaGet
Кнопка "Яндекс" на панели задач
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {2c346018-c66e-11e5-9d48-bb4bca5297be} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {3ec0059f-5ad9-11e1-8584-000f3dcc4dec} - K:\EasySuite.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {413b9524-dc0b-11e1-8b01-000f3dcc4dec} - H:\EasySuite.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {c885b97f-5a6c-11e1-a592-000f3dcc4dec} - J:\setup.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {ed1865c5-9cf8-11e6-9f8e-c18056ae12b9} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {ed1865cf-9cf8-11e6-9f8e-c18056ae12b9} - F:\Lenovo_Suite.exe
    AppInit_DLLs: C:\ProgramData\Ronzap\Voltwarm.dll => No File
    AppInit_DLLs-x32: C:\ProgramData\Ronzap\Voyatech.dll => No File
    GroupPolicy: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {4CC3D42B-B8AB-4CDC-986E-6530665C56EE} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
    Task: {7978BB2A-FEA5-4270-852A-2D1C880E6394} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    Task: {D9E950A4-56F6-4453-8296-C985741C4352} - \Update Service for Torrent Search -> No File <==== ATTENTION
    Task: {E7A03BF8-A1B0-478D-9CC7-D059A3D17698} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\ReimageUpdater.job => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\bWAeOsw.exe <==== ATTENTION
    Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\bWAeOsw.exe <==== ATTENTION
    FF Extension: (TSearch) - C:\Users\Boss\AppData\Roaming\Mozilla\Firefox\Profiles\dhudmeva.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2020-07-23] [Legacy] [not signed]
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWqICWRlg5p-TqszjLBH0_a90_33gHKHDgdo7q90W0mT-DzAGt2GqBksc5R_mdnXFjRrBTu-O5nn_CifoGNS_ZQ0PhoMczY9EWfk7NGeZZyNXTdEZUK_rZl4SuQWrABVMegCS66VKgM2Bd68D1uPUdg82vfygKkWxIa76Dfdvs
    CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1456419224&z=2afaad3ae256b3f5d48ab73gaz8w3q4zeg6t2o1oaz&from=amt&uid=samsungxhd321kj_s0mqjdpp616219"
    C:\Users\Boss\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
    C:\Users\Boss\AppData\Local\Google\Chrome\User Data\Default\Extensions\ialilpegnnfigbcggpbbdecdgencbfge
    CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
    C:\Users\Boss\AppData\Roaming\Opera Software\Opera Stable\Extensions\nofpoinhpaonfgjgoooobacfhhicgiah
    S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
    S2 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe shuz -f "C:\ProgramData\\Ronzap\\Ronzap.dat" -l -a
    S4 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] <==== ATTENTION
    S1 bbrowserboost; \??\C:\Windows\system32\drivers\bbrowserboost.sys [X]
    S1 bd0001; system32\DRIVERS\bd0001.sys [X]
    S1 bd0002; system32\DRIVERS\bd0002.sys [X]
    S2 BDPaHlp; \??\C:\Program Files (x86)\Baidu\BrowserProtect\4.2.2.390\drivers\x64\BDPaHlp.sys [X]
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17063.223\QMUdisk64.sys [X]
    S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17063.223\softaal64.sys [X]
    AlternateDataStreams: C:\Users\Boss\dasa.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\dasa.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Boss\Dobropis.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\Dobropis.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Boss\чекALZA.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\чекALZA.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    FirewallRules: [{A826F79F-1636-4242-93D0-52510940A574}] => (Allow) LPort=26675
    FirewallRules: [{C0E38D5E-89B8-4B3E-ACF5-6FAAE5ECC6F8}] => (Allow) LPort=1542
    FirewallRules: [{5C1DFB13-6C2E-4C2F-8C87-E6D3C5DFA7EB}] => (Allow) LPort=1542
    FirewallRules: [{85A32E51-D805-437E-A98F-4FA794BDFC24}] => (Allow) LPort=53
    FirewallRules: [{3515B64B-24E1-4D20-A7DC-62676220EDFE}] => (Allow) LPort=67
    FirewallRules: [{B6829608-BC2F-482C-8474-DB570D9755F7}] => (Allow) LPort=68
    FirewallRules: [{2E0572BF-4303-43BF-AF05-112AAC07733B}] => (Allow) LPort=53
    FirewallRules: [{FD116842-4196-4350-94D2-07C41734F927}] => (Allow) LPort=53
    FirewallRules: [{F6EF77F7-AFED-43BB-BC32-4BC023474D44}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe => No File
    FirewallRules: [{4A8FCC61-4ED8-4C3C-BB57-0AA1B0D1F094}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe => No File
    FirewallRules: [{736A05C5-E6F0-40AC-BC7D-D8FF6B900FF6}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BDASoftMgr.exe => No File
    FirewallRules: [{C320C81C-F604-4FCC-A998-6748E9D318D7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BDASoftMgr.exe => No File
    FirewallRules: [{0EE1BC76-F21D-4AD1-B310-1D0494E553F7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{CB1D322B-7B32-4622-8D71-07306E472080}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{11935E35-E90A-49C3-AC4C-EFB9955952DB}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{CA1B0890-BD2E-43EA-B6D4-FF23B2531059}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{7527AF59-FC13-4A40-A49C-98B101015C5B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{59F994B9-134A-496B-BD99-74DDEF2B931D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{11B59F7D-1A28-4B3F-AE8B-AF7FBD2E7769}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{1B7B33BA-6A02-4E20-9C7B-11030277228D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{6A280067-EEE4-4A3D-B02C-AD5D59ECD0F2}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{621CBFE6-CB48-4A8F-8B64-10EFB008F19F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{86843371-B828-469A-B73D-DDBF61C82E8C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{7DDEDF0F-5C35-4FBE-AC22-50B60597338F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{5715B6AD-BC4B-423B-B321-774FA24AC087}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe => No File
    FirewallRules: [{C61E21A2-77ED-42A6-86CA-053402B22EA0}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe => No File
    FirewallRules: [{7715791E-647D-4A45-9506-5687B9C7EE39}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnUpdate.exe => No File
    FirewallRules: [{6CCEC388-6028-41CF-BB46-E28831656F94}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnUpdate.exe => No File
    FirewallRules: [{E7C0888F-7AE0-426E-8C9C-EE4DB89BF8B6}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe => No File
    FirewallRules: [{0ACF4733-5074-4654-891C-3F8E34FEADE9}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe => No File
    FirewallRules: [{0C7DD15FirewallRules: [{125C49CE-1BC4-4840-9351-6B4583B2EBCF}] => (Allow) C:\Users\Boss\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{BD89D980-7354-46D7-AD85-59C423449EC2}] => (Allow) C:\Users\Boss\AppData\Local\MediaGet2\mediaget.exe => No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

NFL

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
я про тело шифровальной программы, для thyrex может поможет?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Не поможет. То, что Вы скачали и запустили, - это всего лишь загрузчик шифратора. Сам шифратор скачивается с другого обменника и сохраняется в папку с загрузчиком (я так думаю) под именем 1.ехе. Таких загрузчиков у меня уже несколько и ни разу сам шифратор больше скачать не получилось. Учитывая, сколько искателей халявных ключей успевает скачать загрузчики, предположу, что ссылки на сам шифратор либо настроены на ограниченное количество скачиваний (в т.ч. на единственное), либо удаляются хостером.
 
  • Like
Реакции: NFL

NFL

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Спасибо за разъяснение, остаётся одна возможность - платить зловреду.
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Если будет возможность поделитесь дешифратором, может, что получится вытянуть для других пользователей.
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Проверьте ЛС
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Со слов пользователя, расшифровка была успешной.
 
Сверху Снизу