Решена с расшифровкой. Помощь в расшифровке файлов, зашифрованных .wannacash (buratino@cock.li)

[Даурен]

прошу помощи. сидел в интернете смотрел ютуб. После после чего обнаружил что файлы стали зашифрованы: « файл зашифрован (Audi80(b4)91-95rus.pdf) тип - Файл "WANNACASH" (.wannacash)»
Проверил компьютер утилитой ESET все чисто.

 

[akok]

Ключи качали перед шифрованием для антивируса? Кстати у вас их два как посмотрю, еще торчит AVG.

Fixlog.txt - откуда? По поводу расшифровки дождитесь @thyrex

 

[Даурен]

ключи качал. все верно.

 

[akok]

Fixlog.txt - откуда?

Где еще тему создали?

 

[Даурен]

я скачал FRST64. и проделал начало.
тем больше нет

 

[akok]

Fixlog.txt - просто так не появляется, это результат удаления файлов. Судя по логу ничего критичного себе не удалили. Только вот логи FRST нужно переделать, они созданы до выполнения скрипта, нужны свежие.

 

[Даурен]

удалить прежнюю. и скачать заново FRST64
я правильно понял?

 

[akok]

Пропустите этот шаг, создайте только свежие логи той версией которая уже есть.

 

[Даурен]

сделал

 

[akok]

Какое содержимое файла?
C:\Windows\Tasks\SCHEDLGU.TXT

Удалите остатки AVG Установить AVG на ПК, Mac | Файлы установки AVG

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  HKU\S-1-5-21-58041830-2865927823-4003784592-1000\...\MountPoints2: {106182d7-7f5f-11e7-84ab-889ffaa1870e} - F:\AutoRun.exe
  HKU\S-1-5-21-58041830-2865927823-4003784592-1000\...\MountPoints2: {39b239f3-9f6b-11e7-8699-889ffaa1870e} - F:\SISetup.exe
  HKU\S-1-5-21-58041830-2865927823-4003784592-1000\...\MountPoints2: {7551785b-196a-11e9-af29-e81132194668} - F:\iStudio.exe
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  FirewallRules: [{DCD0E4B1-5F91-47CD-BAE4-DE985D674081}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
  FirewallRules: [{4986D302-9523-4596-8929-C534298450C0}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
  FirewallRules: [{6E5B88D0-11BB-457E-823B-071A535EECAE}] => (Allow) C:\Program Files (x86)\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [{55F490AB-CF16-4F26-9C83-E11E91842043}] => (Allow) C:\Program Files (x86)\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [{CC9A977F-C7DE-4DEF-8F26-16DD968B124F}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\VideoEditor.exe No File
  FirewallRules: [{CC091D59-23AF-47EA-A0F0-0BF253463457}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\VideoEditor.exe No File
  FirewallRules: [{A59A0868-A070-4569-8D50-2C644EB95A77}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\Activation.exe No File
  FirewallRules: [{31538BE7-E18F-4A4C-AA0D-985A8BEE982D}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\Activation.exe No File
  FirewallRules: [{30FFCB33-287C-4D61-BB5A-83A9343377DA}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\Updater.exe No File
  FirewallRules: [{59238E3C-D6DC-4C46-A0FD-86F82FD4DB76}] => (Allow) C:\Program Files\FlashIntegro\VideoEditor\Updater.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Даурен]

создалась

 

[thyrex]

Файл типа Ключи активации.exe или Ключи активации на 365.exe сохранили, надеюсь, на всякий случай?

 

[Даурен]

ключи активации я скопировал с интернета и вставил. затем пошло как то, а через некоторое время обнаружил шифры эти.
а какую утелиту для борьбы с вирусами скачать?

Спойлер: Список утилит

Утилиты для борьбы с вирусами



WildfireDecryptor Версия 1.0.0.4 Updated 27.11.2018
ZIP,2,68 МБ



TDSSKiller Версия 3.1.0.28 Updated 10.04.2019
ZIP,4.73 МБEXE,4.82 МБ



RectorDecryptor Версия 2.7.0.2 Updated 27.11.2018
ZIP,812 КБEXE,962 КБ



RakhniDecryptor Версия 1.21.34.0 Updated 25.06.2019
ZIP,5,09 МБ



RannohDecryptor Версия 1.12.4.13 Updated 27.11.2018
ZIP,770 КБ



ScraperDecryptor Версия 1.0.0.4 Updated 27.11.2018
ZIP,495 КБEXE,644 КБ



ScatterDecryptor Версия 2.0.1.5 Updated 27.11.2018
ZIP,1,43 МБ



ShadeDecryptor Версия 1.1.1.47 Updated 27.11.2018
ZIP,1.38 МБ



XoristDecryptor Версия 2.5.4.3 Updated 27.11.2018
ZIP,676 КБEXE,825 КБ



CoinVaultDecryptor Версия 1.0.0.6 Updated 27.11.2018
ZIP,1.19 МБ



Kaspersky Virus Removal Tool Версия 15.0.19.0
EXE,140 МБ



Kaspersky Rescue Disk Версия 18.0.11.0

 

[akok]

Никакую, пока ждите.

 

[thyrex]

ключи активации я скопировал с интернета и вставил

бред полный. Шифровальщик запускают сами пользователи, скачав его по ссылке, ведущей на Яндекс-диск. Наличие самого шифратора ускорило бы подбор ключа.

 

[thyrex]

В общем поймали новую версию. Придется переделывать брутфорсер. Вам несказанно повезет, если найденный сегодня мной вариант идентичен тому, что поработал у Вас. А потому оказание помощи затянется.

 

[thyrex]

У меня есть 2 новости для Вас: плохая и хорошая.
Начну с плохой: версия отличается.
Хорошая: файл с песенкой чудесным образом расшифровать удалось.

Какой суммарный объем зашифрованных данных?

 

[thyrex]

Удивительно, но удалось подобрать и ключ для расшифровки картинки. Ну а для третьего файла и подбирать бессмысленно, ибо это временный файл, оставшийся после открытия какого-то документа Word.

Все таки постарайтесь найти на компьютере и прислать файл, который запустили перед появлением шифрования.

 

[Даурен]

2,15 ГБ (2 316 342 344 байт) - объем зашифрованных файлов, все на рабочем столе.

 

[thyrex]

Выложить в архиве можете куда-либо?