• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Здравствуйте помогите расшифровать файлы

Шердил

Новый пользователь
Сообщения
4
Реакции
0
Когда проверял почту я поймал вирус (уведомление в виде "тхт" прикреплю) шифровальщик он зашифровал все мои файлы в зип папку невозможно открыть просит денег пожалуйста помогите их расшифровать . Лог скана и один зараженный файл прикреплю спасибо заранее удачи вам .
 

Вложения

  • как расшифровать файлы.txt
    7.3 KB · Просмотры: 3
  • Файл зашифрован [1класс англ.docx].wannacash .zip
    28.2 KB · Просмотры: 6
  • Addition.txt
    30.8 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Лог Farbar Recovery Scan Tool не полный, не хватает FRST.txt. По поводу расшифровки дождитесь ответа @thyrex

Когда проверял почту я поймал вирус
необычно. Этот шифровальщик распространяется через варезные ключи eset.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,904
Реакции
2,599
Версия годичной давности. По почте такое точно не распространяется.
Восстановленный файл во вложении.

Расшифровку получите после выполнения написанного в сообщении №2.
 

Вложения

  • 1класс англ.rar
    25.2 KB · Просмотры: 2
Последнее редактирование:

Шердил

Новый пользователь
Сообщения
4
Реакции
0
привет отправляю нехватающий файл
 

Вложения

  • FRST.txt
    22.4 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2809162892-2272098221-3160441845-1000\...\MountPoints2: {73128ec1-6660-11e9-a24a-9cb70dfaaf56} - G:\AutoRun.exe
    HKU\S-1-5-21-2809162892-2272098221-3160441845-1000\...\MountPoints2: {73999da0-d781-11e8-944b-9cb70dfaaf56} - G:\AutoRun.exe
    HKU\S-1-5-21-2809162892-2272098221-3160441845-1000\...\MountPoints2: {73999db4-d781-11e8-944b-9cb70dfaaf56} - G:\AutoRun.exe
    HKU\S-1-5-21-2809162892-2272098221-3160441845-1000\...\MountPoints2: {73999dbe-d781-11e8-944b-9cb70dfaaf56} - G:\AutoRun.exe
    HKU\S-1-5-21-2809162892-2272098221-3160441845-1000\...\MountPoints2: {f6e8546e-a4b4-11e9-afc8-9cb70dfaaf56} - "G:\Install MegaFon Internet.exe"
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    S2 YandexBrowserService; "C:\Users\lion\AppData\Local\Temp\4712_270949586\service_update.exe" --run-as-service [X] <==== ATTENTION
    FirewallRules: [{6C27E715-7F10-4C73-9C18-7946ACD3A1A2}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.1.0\DBDownloader.exe => No File
    FirewallRules: [{B776A482-BB39-4319-A7E9-9E5F7185A729}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.1.0\DBDownloader.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Далее @thyrex отправит вам инструкции по расшифровке файлов.
 

Шердил

Новый пользователь
Сообщения
4
Реакции
0
Привет отправляю то что просили
 

Вложения

  • Fixlog.txt
    3.6 KB · Просмотры: 0

Шердил

Новый пользователь
Сообщения
4
Реакции
0
Привет программа работает на отлично проверил на нескольких зараженных файлах , после расшифровки файлы надо удалить вручную так как даже установив флажок программа автоматически не удаляет зараженные файлы (извлекает но не удаляет) .
Хотел бы поблагодарить вас и вашу команду за оказанную помощь и пожелать вам больших успехов на работе и в личной жизни . Удачи .
ПС: как закрыть тему?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,209
Реакции
2,471
Ещё пару шагов проделайте:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сверху Снизу