• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Зашифровал Wannacash

Статус
В этой теме нельзя размещать новые ответы.

Bruce

Новый пользователь
Сообщения
10
Реакции
0
Добрый день! В конце ноябре скачать ключи для Нод 32, после перезагрузки файлы оказались зашифрованы. Файлы не жизненно важные но все равно обидно. В письме от этих вымогателей было написано что они могут два файла прислать расшифрованных чтобы доказать их "честность", я им отправил, в ответе получил расшифрованные, их я тоже прикладываю на всякий случай.
Помогите пожалуйста!
 

Вложения

  • Addition.txt
    63 KB · Просмотры: 0
  • FRST.txt
    56.6 KB · Просмотры: 1
  • как расшифровать файлы.txt
    7.3 KB · Просмотры: 0
  • Расшифровка.zip
    25.2 KB · Просмотры: 1
  • Файл зашифрован [курсовая.docx].wannacash .zip
    49.9 KB · Просмотры: 2
  • Файл зашифрован [Явка собравшихся.docx].wannacash .zip
    19.4 KB · Просмотры: 1
Расшифровать возможно файлы.
 
Система под переустановку? Если нет, то нужно пролечить.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Просканировал AdwCleaner отчет прикладываю.
 

Вложения

  • AdwCleaner[S00].txt
    25.4 KB · Просмотры: 1
Сервисы от Yandex используете? Если да, то поснимайте соответствующие галки в ADW

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

И нужен свежий комплект логов FRST
 
Прилепляю отчет. Компьютер перезагрузил. Сервисами от Яндекса не пользуюсь.
 

Вложения

  • AdwCleaner[C01].txt
    21.6 KB · Просмотры: 1
  • AdwCleaner[S01].txt
    25.4 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Отчет приклепил
 

Вложения

  • Addition.txt
    67.5 KB · Просмотры: 1
  • FRST.txt
    53.2 KB · Просмотры: 1
На время лечения удалите следующее ПО
IObit - все от этой компании

Awesome Miner - ваше?

  • Отключите до перезагрузки антивирус. Скрипт удалить кеш и куки браузеров, так, что может разлогинить из всех сессий.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\Astral\Desktop\SXX\Sex.exe
    GroupPolicy-x32: Restriction - Chrome <==== ATTENTION
    GroupPolicy-x32\User: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-1384478403-3876213747-2636628348-1000\...\MountPoints2: {4cfa3fc8-5d24-11e4-8537-806e6f6e6963} - G:\AutoRun.exe
    HKU\S-1-5-21-1384478403-3876213747-2636628348-1000\...\MountPoints2: {4cfa3fc9-5d24-11e4-8537-806e6f6e6963} - H:\Autorun.exe
    HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] -> 
    Task: {19A556A0-A71C-4BD8-A20A-6C4AB394C41C} - \temp_2188377c-2986-4ff0-8061-5750e7bc3cf8-2 -> No File <==== ATTENTION
    Task: {23ECD059-258B-4BDD-805A-D04ED9F93EEA} - System32\Tasks\hpUrlLauncher.exe_{E6BB21D9-340A-4CD3-91C3-E2E67493765F} => C:\Users\Astral\AppData\Local\Temp\7zS1C90\utils\hpUrlLauncher.exe <==== ATTENTION
    Task: {E6DE9775-2290-49A9-B007-23890418D515} - \DealPlyUpdate -> No File <==== ATTENTION
    BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> No File
    BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
    Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
    Toolbar: HKU\S-1-5-21-1384478403-3876213747-2636628348-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-1384478403-3876213747-2636628348-1000 -> No Name - {6061A61B-1FD3-4201-8DD1-6CE5D678F991} -  No File
    S3 Lavasoft Kernexplorer; \??\D:\Program Files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys [X]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => D:\Program Files\Windows Sidebar\sbdrop.dll -> No File
    AlternateDataStreams: D:\Users\Public\DRM:احتضان [48]
    MSCONFIG\startupfolder: C:^Users^Astral^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^634993349507366263.exe => C:\Windows\pss\634993349507366263.exe.Startup
    2013-03-19 23:12 - 2013-03-19 23:12 - 000000155 _____ () C:\Program Files\Common Files\634993349507366263.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
По поводу расшифровки, проверьте ЛС
 
файл прикрепил
 

Вложения

  • Fixlog.txt
    7 KB · Просмотры: 1
Три раза запускать скрипт не нужно было. Что с расшифровкой?
 
Спасибо большое, все расшифровывает.Но почему-то некоторые файлы стали пустыми.
 
Пустыми - это значит имеют нулевой размер?
 
430 байта. Одинаковый размер у всех файлов которые пропали.
 
Пример такого зашифрованного файла прикрепите к сообщению.
 
прикрепил
 

Вложения

  • Файл зашифрован [P9271436.JPG].wannacash .zip
    430 байт · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу