• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите с расшифровкой WANNACASH v010820

Максим Романович

Максим Романович

Новый пользователь
Сообщения
10
Реакции
2
Здравствуйте Всем! Еще 8 августа поймал заразу. Искал решение, и на тот момент не нашёл, в том числе у вас. Решил повторить поиск решения проблемы сейчас, через 1.5 месяца. Оправдываться не буду, так как попался как ребёнок (ключи нод32 365), стыдно. Ведь отлично знал, что не надо запускать ЕХЕ-шник, нет всё равно запустил... Через минут 50 только вернулся к компу и увидел сообщение на рабочем столе о вымогательстве за расшифровку, остановил "ГАДА" в диспетчере, но уже 38 тысяч он зашифровал. Надеюсь вы сможете и мне помочь. К сожалению файл с текстом о выкупе удалил сразу, извините, не смекнул, что он может пригодиться. Заразу приклепляю с паролем: virus, как в описании. Также три первых зашифрованных файла в архиве и плюс логи от FarBar.
P.S. Систему не чистил ни чем, так как не нашёл "лекарства", только проверил антивирусником Нод32, который ничего не обнаружил тогда, что странно, так как сейчас, через 1.5 месяца, во время работы FarBar, Нод32 обнаружил и удалил с рабочего стола эту заразу. Видимо ФарБар сканируя заставил Нод обратить на него внимание. Комп за это время ни разу не перезагружал, только гибернация, на всякий случай. Могу ещё прикрепить один зашифрованный файл ~6Mb с его оригиналом ~4.5Mb, точнее копией оригинала (специально скачал повторно).
 

Вложения

Здравствуйте!

Дешифровка будет выдана после очистки системы.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: H - H:\windows\AutoRun.exe
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {35069a96-d19c-11ea-9a59-0024546bb9fb} - H:\windows\AutoRun.exe
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {6d20456d-9d89-11e7-a26b-0024546bb9fb} - G:\Setup.exe
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {9a7cb05d-7b9a-11e4-9dab-e85ce58844c1} - G:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {bb49b1e1-e528-11e6-bf40-cb7516b621c1} - G:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-446790594-709496599-3341283624-1000\...\MountPoints2: {db97f4a5-a8ab-11e4-b6c8-ff946833b5bf} - G:\HTC_Sync_Manager_PC.exe
AppInit_DLLs: {DLL_Str} => No File
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-446790594-709496599-3341283624-1002\User: Restriction <==== ATTENTION
Task: {203937C8-A317-437E-8FAB-2B3F43108A6A} - System32\Tasks\Wise Registry Cleaner 4 => C:\Program Files\Total Commander\Utils\RegCleaner\WiseRegistryCleaner.exe [1330688 2009-11-01] (WiseCleaner.com) [File not signed]
Task: {67151482-E3CE-475C-9B69-8779727CC670} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=profitraf3
CHR HKLM\...\Chrome\Extension: [hifljmdhcpanibegopehdlcpjknfnbpm] - C:\Users\1\AppData\Local\walla_app.crx [2012-06-16]
CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-02-27]
CHR HKLM\...\Chrome\Extension: [jfjhiccppafcjicfalobggnophliocpp] - C:\Users\1\AppData\Local\CRE\jfjhiccppafcjicfalobggnophliocpp.crx [2012-06-14]
CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url>
CHR HKU\S-1-5-21-446790594-709496599-3341283624-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo]
CHR HKU\S-1-5-21-446790594-709496599-3341283624-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hifljmdhcpanibegopehdlcpjknfnbpm] - C:\Users\1\AppData\Local\walla_app.crx [2012-06-16]
CHR HKU\S-1-5-21-446790594-709496599-3341283624-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jfjhiccppafcjicfalobggnophliocpp] - C:\Users\1\AppData\Local\CRE\jfjhiccppafcjicfalobggnophliocpp.crx [2012-06-14]
CHR HKU\S-1-5-21-446790594-709496599-3341283624-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
AlternateDataStreams: C:\windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [246]
AlternateDataStreams: C:\ProgramData\Temp:95E14BBC [118]
AlternateDataStreams: C:\ProgramData\Temp:9D1B94FD [500]
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE [118]
AlternateDataStreams: C:\ProgramData\Temp:B755D674 [149]
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [112]
AlternateDataStreams: C:\ProgramData\Temp:F0E93CD8 [123]
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> No Name - {79894908-EAA3-4327-8097-ED07723796D9} -  No File
Toolbar: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} -  No File
Toolbar: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} -  No File
Toolbar: HKU\S-1-5-21-446790594-709496599-3341283624-1000 -> No Name - {BEBC2A28-82AB-4CC7-810E-9A3DF7A1970F} -  No File
FirewallRules: [{CA43FF63-B975-4ECC-8D10-E835238D732F}] => (Allow) LPort=2869
FirewallRules: [{E1544F9B-1BC7-4C39-A06B-57F8329E96D7}] => (Allow) LPort=1900
FirewallRules: [{9B7AD3EB-B491-4E15-8684-036A42146E6B}] => (Allow) LPort=2869
FirewallRules: [{E8126482-90AA-4688-869D-E08A2D586E86}] => (Allow) LPort=1900
FirewallRules: [{D734937B-2B8C-4673-8DE3-C9BEB101CB61}] => (Allow) LPort=2869
FirewallRules: [{21613793-1C3A-4779-856C-C4FDBED2F3DA}] => (Allow) LPort=1900
FirewallRules: [{ED414BC9-084B-401D-A1BE-241BB9CBA992}] => (Allow) LPort=445
FirewallRules: [{27EBD329-4418-4154-AD13-E4257A01A48A}] => (Allow) LPort=445
FirewallRules: [{A14CB501-C7AA-4AC3-8CEC-42AA4997B0B4}] => (Allow) LPort=445
FirewallRules: [{93A5EFD5-F0C5-431B-9E6F-43C2F482176D}] => (Allow) LPort=445
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Отключил антивирус, скопировал ваш скрипт, запустил FRST от админа, нажал фикс один раз, прикрепил полученный фикслог. После нажал ОК для перезагрузки.
 

Вложения

Проверьте ЛС.
 
  • Like
Реакции: akok
Спасибо большое Sandor! Сделал всё как вы написали в ЛС, начал с Рабочего стола, на котором был зашифрован 31 файл, из них благополучно расшифровались 28 файлов, три ни в какую. Ваша программа "дешифровщик2" не может создать эти файлы, скорее всего из-за языка, имена частично на иврите скорее всего. Прикладываю архив скринов ошибок и архив трех файлов. По возможности посмотрите, может что то можно поправить в дешифраторе. За ранее Огромное СПАСИБО!
 

Вложения

Нестандартные названия, вот и падает ошибкой.
 
Но вообще конечно СУПЕР молодцы вы! Может оно вам и не в тягость решать такие проблемы, но нам как глаток свежего воздуха, спасибо! Одно вот только но, нет не такие файлы с нестандартными именами, а количество зашифрованных по всему винту в разных папках файлов. В моём случае более 36 тысяч файлов. Как то бы автоматизировать процесс восстановления, в противном случае буду восстанавливать по мере необходимости, так и так это выход из создавшейся ситуации.
 
Ребят, вот ещё одна ошибка при расшифровке, не похожая на предыдущую. Будет возможность гляньте пожалуйста... Вложил архивы файла и скрин с ошибкой. Спасибо!
 

Вложения

Этот файл был изначально нулевого размера и в него только дописана информация, необходимая для восстановления. Внесу корректировку в дешифратор, когда появится время.
 
Последнее редактирование:
Прошу прощения за навязчивость, уважаемый thyrex, повторю вопрос по автоматизации процесса восстановления по всему жесткому диску, по причине большого количества зашифрованных файлов в разных уголках "винта". Посмотрите пожалуйста, что можно реализовать. Не знаю как и благодарить... Спасибо за ранее!
 
Скачивайте по прежней ссылке новую версию. Должно обрабатывать нормально оба проблемных случая.
В случае, если имя содержало недопустимые символы, они просто удаляются из имени. Такие файлы потом придется Вам самому переименовывать, если пожелаете.
 
Последнее редактирование:
Спасибо! Всё работает как описали в новой версии, очень круто! Но если интересно, появилась новая ошибка, файлы с расширением "tmp". Врядли они мне нужны, просто дешифратор на них останавливается, пишет, что не может получить доступ из-за другого процесса. По этой причине папку с тремя тысячами файлов, так и не восстановил вчера до конца, раз 15 прога останавливалась, приходилось перезапускать. Позже выложу скрин ошибки, если надо.. А вот ещё что: некоторые фото с расширением "jpg" восстанавливаются только их имена и размер, а при открытии чёрный фон, но это не страшно, таких очень мало , да и по названию я их могу найти в других местах. Спасибо за помощь! Подскажите как вас можно отблагодарить?
 
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Максим Романович написал(а):
как вас можно отблагодарить?
Нажмите для раскрытия...
safezone.cc

Помощь проекту

Как оказать помощь нашему проекту
safezone.cc safezone.cc
 
  • Like
Реакции: akok
Форма от яндекс денег не работает?
 
Трудно сказать работает ли форма яндекс денег. Я пытаюсь оплатить банковской картой виза, долларовой. Выдаёт ошибку.
 

Вложения

  • SCREEN.webp
    SCREEN.webp
    6.5 KB · Просмотры: 99
  • screen2.webp
    screen2.webp
    15.2 KB · Просмотры: 87
Отписался в ЛС
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

assus
Решена без расшифровки Помогите с расшифровкой файлов 4368 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
Ответы
1
Просмотры
320
thyrex
thyrex
N
  • Закрыта
Решена без расшифровки Помогите пожалуйста с расшифровкой wannacash ncov
Ответы
3
Просмотры
1K
akok
akok
K
Решена с расшифровкой. Помогите с расшифровкой fairexchange@qq.com
Ответы
6
Просмотры
558
akok
akok
Назад
Сверху Снизу