• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. wannacash

Марат1985

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
При скачивании архива с ключами eset поймал шифровальщик. Сам архив удалила антивирусная программа, восстановить не могу.
Подскажите куда копать
файлы выглядят следующим образом
4838 Файл зашифрован. Пиши. [ Почта [email protected] ] .WANNACASH v010820
 

Вложения

  • FRST.txt
    42.7 KB · Просмотры: 1
  • Addition.txt
    35.1 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,384
Реакции
13,373
Баллы
2,203
Подскажите куда копать
Доброго времени суток. Пока в сторону резервных копий т.к. эта версия не поддалась дешифровке, а оригинальный расшифровщик нигде не пробегал. В случае необходимости @thyrex поправит. Зачистим мусор.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    IFEO\KMmpeg.exe: [Debugger] 0
    IFEO\KMPlayer.exe: [Debugger] 0
    Task: {01C5B377-A7EB-4FF3-9C6C-86852FACB348} - \Microsoft\Windows\Management\Provisioning\Logon -> No File <==== ATTENTION
    Task: {3472D253-581F-4480-8539-784D74361402} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> No File <==== ATTENTION
    Task: {448A489E-5450-4135-A2E0-E7E006A0F018} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> No File <==== ATTENTION
    Task: {4D496758-CF92-424B-8FC7-E95278FD13F2} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> No File <==== ATTENTION
    Task: {6FFA775B-E7BB-4DE0-A8F8-EA6FA07E6B25} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> No File <==== ATTENTION
    Task: {798DB582-30ED-4D82-974F-12178BC4D55A} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> No File <==== ATTENTION
    Task: {9CB9760E-A5CF-40B2-AA8B-66B3D69315E7} - \Microsoft\Windows\Management\Provisioning\Cellular -> No File <==== ATTENTION
    Task: {9EAD9AC1-567C-4584-B2E7-D698D822CFDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> No File <==== ATTENTION
    Task: {D7603DFD-C214-4EA9-AED2-7A9EF224A164} - \Microsoft\Windows\Diagnosis\Scheduled -> No File <==== ATTENTION
    Task: {FA103B2E-5EB2-499F-9443-9765F29C7B5B} - \Microsoft\Windows\LanguageComponentsInstaller\Installation -> No File <==== ATTENTION
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers1: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
19,384
Реакции
13,373
Баллы
2,203
прикрепите пару зашифрованных файлов.
 

Марат1985

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Шансы есть? хоть 50%?
 

Вложения

  • Fixlog.txt
    9.1 KB · Просмотры: 1
  • Файлы.zip
    5.5 MB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,384
Реакции
13,373
Баллы
2,203
Проверьте.
 

Вложения

  • Desktop.zip
    5.3 MB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,384
Реакции
13,373
Баллы
2,203
Пока проверяется полученный дешифровщик, так, что нужно подождать.
 

akok

Команда форума
Администратор
Сообщения
19,384
Реакции
13,373
Баллы
2,203
Проверьте ЛС
 
Сверху Снизу