• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Wannacash нужна помощь с расшифровкой

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
добрый вечер!! кто может помочь с зашифрованными файлами?
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
S.lab работают только с БД.
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
я извиняюсь первый раз пишу в форумах поэтому не знаю куда писать и к кому обращаться(
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Здравствуйте, к сожалению мои файлы зашифрованы шифровальщиком WannaCash, пожалуйста помогите с расшифровкой. Весь рабочий стол зашифровался, вирус был в файле "ключи активации 365 дней" Пожалуйста помогите.)))))
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Систему проверять нужно? По поводу дешифровки дождитесь ответа @thyrex
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
я не знаю проверять систему нужно или нет, а что имеется в виду под проверкой системы?
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
После шифрования систему переустанавливали?
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Определяйтесь где будете продолжать у нас или на ФКЛК.
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
нет после шифрования ничего не делал, будем продолжать у Вас),
 

Вложения

  • 33.8 KB Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Есть немного мусора. Ключи для есет качали?
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {0d16a245-e016-11e9-b57c-c8600026b08a} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {1e722acd-284a-11e9-94ab-c8600026b08a} - F:\EMP_UDSe.exe /autorun
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {65321901-a15a-11e7-8cf4-c8600026b08a} - F:\AutoRun.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {83b43ac2-fef1-11e8-b3f6-c8600026b08a} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {b3700a4c-a839-11e7-8d26-c8600026b08a} - F:\Startme.exe
    HKLM\...\Run: [FE894B] => C:\Program Files\574A82\87CF41.EXE
    ShortcutTarget: 7870B8.lnk -> C:\Program Files\574A82\87CF41.EXE (No File)
    Startup: C:\Users\Акмаль\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7870B8.lnk [2018-03-14]
    CustomCLSID: HKU\S-1-5-21-2921137531-538620676-2050437538-1000_Classes\CLSID\{3CE50B3A-A92C-28C5-1A3A-2B0539E407B5}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => No File
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
    ContextMenuHandlers4: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
    ContextMenuHandlers6: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
    FirewallRules: [{AA8465EB-7CB4-4A34-9000-A2D397A83CC0}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
    FirewallRules: [{25199C62-DDB8-4BB9-99A8-F0799338BA97}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
    FirewallRules: [{F70B5D52-7C1B-4523-8AE1-A47735BD59FB}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{EE4BE16E-AB71-40F2-9BC6-7A42E9370357}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{A9707F04-AC30-49C2-A8EE-CA9F3E61011F}] => (Allow) C:\Users\Акмаль\AppData\Roaming\Zoom\bin\airhost.exe => No File
    FirewallRules: [{76381CED-D060-4314-8D15-C0A68588B880}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
сейчас утилита AVZ проверяет что делать, тож выйти
да скачал ключ архив 365
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Теперь дождитесь ответа @thyrex
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Без тела шифратора сказать что-то определенное не представляется возможным. Все предыдущие варианты, начиная с 31 марта, без приватных RSA-ключей расшифровать было невозможно.
 

mr.BOBO

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Добрый день, Что надо сделать? Я не совсем понял что вы написали)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Ссылку я скопировал и убрал из вашего сообщения.
 
Сверху Снизу