• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помощь в расшифровке файлов, зашифрованных .wannacash

mister101

Новый пользователь
Сообщения
7
Реакции
0
Прошу помощи. Скачал архив активации и проверил на вирусы. Распаковал. После перезагрузки файлы стали зашифрованы: «файл зашифрован (миксер.docx) .wannacash»
Проверил компьютер утилитой Dr.Web CureIt и ESET Internet Security 12 – чисто.
Текст уведомления в отдельных файлах каждой папки (файл приложен):
Все файлы следующих расширений былы зашифрованы:
.doc .docx .xls .xlsx .xlst .ppt .pptx .accdb .rtf .pub .epub .pps .ppsm .pot .pages .odf .odt .ods .pdf .djvu .html .txt .tib .iso .dat .zip .rar .7z .gzip .gz .jpg .png .mp4 .mov .avi .mpeg .flv .gif .psd .psb .veg
---------------------------------------------------------------------
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы.
Свяжитесь с нами.
почта: uletan@cock.li
В теме к письму укажите свой идентификатор
---------------------------------------------------------------------
Ваш идентификатор: D69D-706C
---------------------------------------------------------------------
Внимание !
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к невозможности расшифровки данных.
 

Вложения

  • CollectionLog-2019.06.30-19.24.zip
    68.8 KB · Просмотры: 1
  • зашифрованные файлы.rar
    4.7 MB · Просмотры: 2
  • virus.zip
    2.1 MB · Просмотры: 2
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Ранее сделал это, архив с файлами FRST.txt и Addition.txt приложен.
 

Вложения

  • Scan Farbar Recovery Scan Tool.rar
    34.4 KB · Просмотры: 1
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer\Run: [ThyrexSucks] => C:\Users\Serg\AppData\Local\Temp\ThyrexSucks.bat
Task: {150E9F09-047A-4A70-AD76-857D550A9A69} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {51A237C9-5CA5-4D62-B11B-2E3E363C6B90} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office15\URLREDIR.DLL => No File
Toolbar: HKU\S-1-5-21-1642548274-4087605821-207819123-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1642548274-4087605821-207819123-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF SearchPlugin: C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\pbsr86jt.default\searchplugins\---wot.xml [2014-01-19]
FF SearchPlugin: C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\pbsr86jt.default\searchplugins\askcom.xml [2010-01-20]
CHR HomePage: Default -> hxxp://orbevod.ru/?utm_source=startpage03&utm_content=13dd7a8326acd84a9379b6d992b4089c
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Downloads\как расшифровать файлы.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Documents\как расшифровать файлы.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы5.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы4.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы3.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы2.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы1.txt
2019-06-29 20:02 - 2019-06-29 20:02 - 000000858 _____ C:\Users\Serg\Desktop\как расшифровать файлы.txt
2019-06-29 18:33 - 2019-06-29 18:33 - 000000186 _____ C:\Users\Serg\Documents\файл зашифрован (~$зодорант АХЕ.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$слова.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$сверка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$монт по заливу.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$мойка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$миксер.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$лендарь.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$кумент Microsoft Word.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$кумент Microsoft Word (2).docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$иральная машинка.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$етензия.docx) .wannacash
2019-06-29 18:32 - 2019-06-29 18:32 - 000000186 _____ C:\Users\Serg\Desktop\файл зашифрован (~$билеты.docx) .wannacash
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Повторил сканирование Farbar, архив приложен
 

Вложения

  • FRST.txt и Addition.txt.rar
    34.6 KB · Просмотры: 1
Не забыл, прикрепил
ПК перезапустился, пропали файлы .txt с текстом о факте зашифровки (первое сообщение)
 

Вложения

  • Fixlog.txt
    10.7 KB · Просмотры: 1
Последнее редактирование:
Теперь ожидайте. Процесс не быстрый.
 
Ожидаю. Прошу пояснить, ожидать неотлучно?
 
Зачем же неотлучно :) Будут новости, я отвечу в теме.
 
Архив повреждён или имеет неизвестный формат
 
Архив упаков WinRar 5.
 
Назад
Сверху Снизу