• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Шифровальщик Wannacash

Vitaliy

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Добрый день.
Помогите удалить вирус и восстановить файлы.
Вчера скачал ключи для Nod32, разархивировал и запустил, а потом вирус зашифровал все важные файлы.
Систему не восстанавливал, никаких действий пока не предпринимал.
Логи, записку и пару зашифрованных файлов прикрепляю.
 

Вложения

  • Addition.txt
    78.6 KB · Просмотры: 1
  • FRST.txt
    207.7 KB · Просмотры: 3
  • Зашифрованные файлы.rar
    304.7 KB · Просмотры: 4
  • Как расшифровать файлы.txt
    420 байт · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Политики сами настраивали?

По поводу расшифровки дождитесь ответа @thyrex
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3679981857-2073771960-3104207688-1001\...\RunOnce: [Info] => C:\Users\Виталий\Documents\info.exe [3220480 2020-10-16] () [File not signed]
    HKU\S-1-5-21-3679981857-2073771960-3104207688-1001\...\MountPoints2: {c5d79b71-d7db-11ea-8489-5404a64dde04} - "G:\Setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {282E5C3F-43B5-42F8-B3B5-D7B3158710E5} - \Виталий -> No File <==== ATTENTION
    Task: {696F0F07-550A-44CD-A95B-BC3D37D849CB} - \WPD\SqmUpload_S-1-5-21-3679981857-2073771960-3104207688-1001 -> No File <==== ATTENTION
    Task: {EEB97920-F59B-4736-96B6-992C8D0781C0} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2020-10-16 16:34 - 2020-10-16 16:34 - 000000012 _____ C:\Users\Виталий\Documents\timer.dat
    2020-10-16 16:29 - 2020-10-16 16:29 - 003220480 _____ C:\Users\Виталий\Documents\info.exe
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
    IE trusted site: HKU\S-1-5-21-3679981857-2073771960-3104207688-1001\...\webcompanion.com -> hxxp://webcompanion.com
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Сам шифровальщик (кряк) сохранился? Если да, то прикрепите к теме
 

Vitaliy

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Все выполнил. Вирус в архиве. Пароль: 9рк51
 

Вложения

  • Fixlog.txt
    6.3 KB · Просмотры: 1
  • VIRUS Ключи активации на 365 дней.rar
    21.3 KB · Просмотры: 2

Vitaliy

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Здравствуйте. Есть ли какие-то обновления по данному вопросу?
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Пока нет. У вас версия по которой нет информации по расшифровке.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Скачайте AVZ, распакуйте и выполните такой скрипт
(Файл - Выполнить скрипт):
Код:
begin
DeleteFile(GetAVZDirectory+'FRST_Quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware FRST_Quarantine '+GetSystemDisk+':\FRST\Quarantine\ ', 1, 300000, false);
end.

Файл FRST_Quarantine.7z из папки с распакованной утилитой AVZ (находится в папке AutoLogger) отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.
 
Последнее редактирование модератором:

Vitaliy

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Немного не понял.
AVZ распаковал, выполнил скрипт. Файла FRST_Quarantine.7z нет, а в логах пишет:
Для удаления файла путь\avz5portable\FRST_Quarantine.7z необходима перезагрузка.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
В корне системного диска есть папка FRST? Если да, упакуйте в архив с паролем virus и загрузите на любой файлообменник.
Немного не понял.
Там моя ошибка, в обычной версии AVZ нет модуля 7z для упаковки.
 
Сверху Снизу