• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помощь в расшифровке файлов, зашифрованных .wannacash

mister101

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Прошу помощи. Скачал архив активации и проверил на вирусы. Распаковал. После перезагрузки файлы стали зашифрованы: «файл зашифрован (миксер.docx) .wannacash»
Проверил компьютер утилитой Dr.Web CureIt и ESET Internet Security 12 – чисто.
Текст уведомления в отдельных файлах каждой папки (файл приложен):
Все файлы следующих расширений былы зашифрованы:
.doc .docx .xls .xlsx .xlst .ppt .pptx .accdb .rtf .pub .epub .pps .ppsm .pot .pages .odf .odt .ods .pdf .djvu .html .txt .tib .iso .dat .zip .rar .7z .gzip .gz .jpg .png .mp4 .mov .avi .mpeg .flv .gif .psd .psb .veg
---------------------------------------------------------------------
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы.
Свяжитесь с нами.
почта: uletan@cock.li
В теме к письму укажите свой идентификатор
---------------------------------------------------------------------
Ваш идентификатор: D69D-706C
---------------------------------------------------------------------
Внимание !
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к невозможности расшифровки данных.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer\Run: [ThyrexSucks] => C:\Users\Serg\AppData\Local\Temp\ThyrexSucks.bat
Task: {150E9F09-047A-4A70-AD76-857D550A9A69} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {51A237C9-5CA5-4D62-B11B-2E3E363C6B90} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office15\URLREDIR.DLL => No File
Toolbar: HKU\S-1-5-21-1642548274-4087605821-207819123-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1642548274-4087605821-207819123-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF SearchPlugin: C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\pbsr86jt.default\searchplugins\---wot.xml [2014-01-19]
FF SearchPlugin: C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\pbsr86jt.default\searchplugins\askcom.xml [2010-01-20]
CHR HomePage: Default -> hxxp://orbevod.ru/?utm_source=startpage03&utm_content=13dd7a8326acd84a9379b6d992b4089c
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Downloads\как расшифровать файлы.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Documents\как расшифровать файлы.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы5.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы4.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы3.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы2.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы1.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы.txt
2019-06-29 18:33 - 2019-06-29 18:33 - 000000186 _____ C:\Users\Serg\Documents\файл зашифрован (~$зодорант АХЕ.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$слова.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$сверка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$монт по заливу.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$мойка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$миксер.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$лендарь.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$кумент Microsoft Word.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$кумент Microsoft Word (2).docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$иральная машинка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$етензия.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$билеты.docx) .wannacash
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

mister101

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Не забыл, прикрепил
ПК перезапустился, пропали файлы .txt с текстом о факте зашифровки (первое сообщение)
 

Вложения

Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Теперь ожидайте. Процесс не быстрый.
 

mister101

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Ожидаю. Прошу пояснить, ожидать неотлучно?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Зачем же неотлучно :) Будут новости, я отвечу в теме.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Проверьте ЛС.
 

mister101

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Архив повреждён или имеет неизвестный формат
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Архив упаков WinRar 5.
 
Сверху Снизу