• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Wannacash нужна помощь с расшифровкой

S.lab работают только с БД.
 
я извиняюсь первый раз пишу в форумах поэтому не знаю куда писать и к кому обращаться(
 
Здравствуйте, к сожалению мои файлы зашифрованы шифровальщиком WannaCash, пожалуйста помогите с расшифровкой. Весь рабочий стол зашифровался, вирус был в файле "ключи активации 365 дней" Пожалуйста помогите.)))))
 

Вложения

Систему проверять нужно? По поводу дешифровки дождитесь ответа @thyrex
 
я не знаю проверять систему нужно или нет, а что имеется в виду под проверкой системы?
 
После шифрования систему переустанавливали?
 
Определяйтесь где будете продолжать у нас или на ФКЛК.
 
нет после шифрования ничего не делал, будем продолжать у Вас),
 

Вложения

  • Logs.rar
    Logs.rar
    33.8 KB · Просмотры: 1
Есть немного мусора. Ключи для есет качали?
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {0d16a245-e016-11e9-b57c-c8600026b08a} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {1e722acd-284a-11e9-94ab-c8600026b08a} - F:\EMP_UDSe.exe /autorun
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {65321901-a15a-11e7-8cf4-c8600026b08a} - F:\AutoRun.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {83b43ac2-fef1-11e8-b3f6-c8600026b08a} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {b3700a4c-a839-11e7-8d26-c8600026b08a} - F:\Startme.exe
    HKLM\...\Run: [FE894B] => C:\Program Files\574A82\87CF41.EXE
    ShortcutTarget: 7870B8.lnk -> C:\Program Files\574A82\87CF41.EXE (No File)
    Startup: C:\Users\Акмаль\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7870B8.lnk [2018-03-14]
    CustomCLSID: HKU\S-1-5-21-2921137531-538620676-2050437538-1000_Classes\CLSID\{3CE50B3A-A92C-28C5-1A3A-2B0539E407B5}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => No File
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
    ContextMenuHandlers4: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
    ContextMenuHandlers6: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
    FirewallRules: [{AA8465EB-7CB4-4A34-9000-A2D397A83CC0}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
    FirewallRules: [{25199C62-DDB8-4BB9-99A8-F0799338BA97}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
    FirewallRules: [{F70B5D52-7C1B-4523-8AE1-A47735BD59FB}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{EE4BE16E-AB71-40F2-9BC6-7A42E9370357}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{A9707F04-AC30-49C2-A8EE-CA9F3E61011F}] => (Allow) C:\Users\Акмаль\AppData\Roaming\Zoom\bin\airhost.exe => No File
    FirewallRules: [{76381CED-D060-4314-8D15-C0A68588B880}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
сейчас утилита AVZ проверяет что делать, тож выйти
да скачал ключ архив 365
 
Теперь дождитесь ответа @thyrex
 
Без тела шифратора сказать что-то определенное не представляется возможным. Все предыдущие варианты, начиная с 31 марта, без приватных RSA-ключей расшифровать было невозможно.
 
Добрый день, Что надо сделать? Я не совсем понял что вы написали)
 
[ссылка], сам файл тоже зашифровался
 

Вложения

Последнее редактирование модератором:
Ссылку я скопировал и убрал из вашего сообщения.
 
Назад
Сверху Снизу