• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Вирус шифровальщик WANNACASH v010820

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Скачали ключи нод32, по не знаю этого, так как не работал с расшифровкой файлов не стал лесть, решил обратиться кто этим занимается!
Записку, мошенника удалили, но есть его почта, и я видел на форуме что уже работали с этой версией вируса, поэтому записка должна быть та же.
Из за незнания вернули компьютер в исходное состояние, в настройках, виндовс 10
 

Вложения

  • Зашифрованые файлы.rar
    2.3 MB · Просмотры: 2
  • FRST.txt
    88.9 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Addition.txt - потеряли
 

Вложения

  • Правила устройства электроустановок 20.03.2015 №230.zip
    1.9 MB · Просмотры: 2

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Если, нажимаю прикрепить, файл и выбираю Addition то оно зачеркивается, а если переношу из папки на сайт, то пишет что какая то ошибка
И это только только малейшая часть файлов! Что от меня требуется, буду все делать
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Упакуйте в архив, я проверю настройки.
 

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Нашел проблему и исправил.
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Вот и Additijn и FRST в rar
Вот теперь заработало
 

Вложения

  • Addition and FRST.rar
    22.4 KB · Просмотры: 1
  • Addition.txt
    44.7 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ShortcutTarget: NCALayer.lnk -> C:\Windows.old\Users\123\AppData\Roaming\NCALayer\NCALayer.exe (No File)
    CHR HKU\S-1-5-21-3265115221-2611388218-1904288603-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    hellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    FirewallRules: [TCP Query User{FB4DABDA-0CE3-43C0-A685-628A1EA3650E}C:\users\123\mediaget2\mediaget.exe] => (Block) C:\users\123\mediaget2\mediaget.exe => No File
    FirewallRules: [UDP Query User{BC21E6CC-4527-43B6-8CF9-A487066D43BD}C:\users\123\mediaget2\mediaget.exe] => (Block) C:\users\123\mediaget2\mediaget.exe => No File
    FirewallRules: [{E0D68A26-5C8F-48D7-99A7-BE096C8D1B05}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => No File
    FirewallRules: [{EFBE45F9-A004-4335-B207-E66588DD3182}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


По поводу расшифровки сейчас напишу в ЛС.
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Надеюсь все правильно сделал
 

Вложения

  • Fixlog.txt
    7.1 KB · Просмотры: 1

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Я нечайно перезапустил) сейчас скину лог
Вот лог! Еще при работе дескриптора, при выборе последней папка для дешифровки, была выдано сообщение (Out of memory)
 

Вложения

  • Fixlog.txt
    7.1 KB · Просмотры: 1
  • SecurityCheck.txt
    7.9 KB · Просмотры: 2
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Если не используете, то удалите. Ждем результаты расшифровки
---------------------------- [ UnwantedApps ] -----------------------------
Wise Memory Optimizer 3.6.7 v.3.6.7 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Удалил, Wise memory. Нужно сканировать пк?
 

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Да, можете. Только в начале проверьте на нескольких файлах.
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
А вы сами дешифруете файлы? или файлы которые я дешифровал, дешифратором из вашего архива, они уже где то расшифрованные у меня на компьютере?
 

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
или файлы которые я дешифровал, дешифратором из вашего архива, они уже где то расшифрованные у меня на компьютере?
Должны лежать рядом с зашифрованными, по тому же пути.
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
нет файлов, нету рядом с зашифрованными
После проверки программой Malwarebytes Anti-Malware, было обнаружено 26 объектов, что с ними следует предпринять?
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Нет, я просто глупый немного, и ТИРЕ посчитал за минус, и дешифровал в -18 типе, а потом дошло что 18, и дело пошло, Одна папка за другой восстанавливаются, спасибо вам!!
 

Kezar

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Спасибо, огромное, за помощь!!
 

akok

Команда форума
Администратор
Сообщения
19,418
Реакции
13,386
Баллы
2,203
Тогда тему отмечаю решенной. Удачи!
 
Сверху Снизу