Решена без расшифровки Wannacash нужна помощь с расшифровкой

[mr.BOBO]

добрый вечер!! кто может помочь с зашифрованными файлами?

 

[akok]

S.lab работают только с БД.

 

[mr.BOBO]

я извиняюсь первый раз пишу в форумах поэтому не знаю куда писать и к кому обращаться(

 

[mr.BOBO]

Здравствуйте, к сожалению мои файлы зашифрованы шифровальщиком WannaCash, пожалуйста помогите с расшифровкой. Весь рабочий стол зашифровался, вирус был в файле "ключи активации 365 дней" Пожалуйста помогите.)))))

 

[akok]

Систему проверять нужно? По поводу дешифровки дождитесь ответа @thyrex

 

[mr.BOBO]

я не знаю проверять систему нужно или нет, а что имеется в виду под проверкой системы?

 

[akok]

После шифрования систему переустанавливали?

 

[akok]

Определяйтесь где будете продолжать у нас или на ФКЛК.

 

[mr.BOBO]

нет после шифрования ничего не делал, будем продолжать у Вас),

 

[akok]

Есть немного мусора. Ключи для есет качали?
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {0d16a245-e016-11e9-b57c-c8600026b08a} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {1e722acd-284a-11e9-94ab-c8600026b08a} - F:\EMP_UDSe.exe /autorun
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {65321901-a15a-11e7-8cf4-c8600026b08a} - F:\AutoRun.exe
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {83b43ac2-fef1-11e8-b3f6-c8600026b08a} - F:\LG_PC_Programs.exe
  HKU\S-1-5-21-2921137531-538620676-2050437538-1000\...\MountPoints2: {b3700a4c-a839-11e7-8d26-c8600026b08a} - F:\Startme.exe
  HKLM\...\Run: [FE894B] => C:\Program Files\574A82\87CF41.EXE
  ShortcutTarget: 7870B8.lnk -> C:\Program Files\574A82\87CF41.EXE (No File)
  Startup: C:\Users\Акмаль\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7870B8.lnk [2018-03-14]
  CustomCLSID: HKU\S-1-5-21-2921137531-538620676-2050437538-1000_Classes\CLSID\{3CE50B3A-A92C-28C5-1A3A-2B0539E407B5}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => No File
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
  ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP3\Modules\aimp_menu32.dll -> No File
  ContextMenuHandlers4: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
  ContextMenuHandlers6: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Program Files\Recuva\RecuvaShell.dll -> No File
  FirewallRules: [{AA8465EB-7CB4-4A34-9000-A2D397A83CC0}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
  FirewallRules: [{25199C62-DDB8-4BB9-99A8-F0799338BA97}] => (Allow) C:\Program Files\SHAREit Technologies\SHAREit\SHAREit.exe => No File
  FirewallRules: [{F70B5D52-7C1B-4523-8AE1-A47735BD59FB}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
  FirewallRules: [{EE4BE16E-AB71-40F2-9BC6-7A42E9370357}] => (Allow) C:\Users\Акмаль\AppData\Local\MediaGet2\mediaget.exe => No File
  FirewallRules: [{A9707F04-AC30-49C2-A8EE-CA9F3E61011F}] => (Allow) C:\Users\Акмаль\AppData\Roaming\Zoom\bin\airhost.exe => No File
  FirewallRules: [{76381CED-D060-4314-8D15-C0A68588B880}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[mr.BOBO]

сейчас утилита AVZ проверяет что делать, тож выйти
да скачал ключ архив 365

 

[akok]

сейчас утилита AVZ проверяет что делать, тож выйти

в вашей ситуации уже поздно да и просто бесполезно.

 

[mr.BOBO]

сделал)

 

[akok]

Теперь дождитесь ответа @thyrex

 

[mr.BOBO]

Хорошо, спасибо

 

[thyrex]

Без тела шифратора сказать что-то определенное не представляется возможным. Все предыдущие варианты, начиная с 31 марта, без приватных RSA-ключей расшифровать было невозможно.

 

[mr.BOBO]

Добрый день, Что надо сделать? Я не совсем понял что вы написали)

 

[Sandor]

вирус был в файле "ключи активации 365 дней"

Этот файл у вас сохранился? Или может помните ссылку, откуда качали.

 

[mr.BOBO]

[ссылка], сам файл тоже зашифровался

 

[Sandor]

Ссылку я скопировал и убрал из вашего сообщения.