Перейти к содержимому


Фотография
* * * * * 1 Голосов

Помогите, пожалуйста, вирус wannacash зашифровал файлы.

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 24

#1 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 28 Декабрь 2019 - 15:31

Помогите, пожалуйста, вирус wannacash зашифровал файлы. Как расшифровать? Хотя бы документы, учебные материалы. Ничего открыть не могу. ПОЖАЛУЙСТА, помогите. Всё, что нужно пришлю.

 

[mod='Mark D. Pearlstone']Перемещено из темы.[/mod]


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 990

Отправлено 28 Декабрь 2019 - 18:35

Здравствуйте,

«Порядок оформления запроса о помощи».


  • 0

#3 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 28 Декабрь 2019 - 18:51

Результаты Autologger test 


файл от шифровальщика

 

Прикрепленные файлы


  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 990

Отправлено 28 Декабрь 2019 - 19:45

Удалите остатки от антивируса Avast утилитой Avast Remover.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: WindowsUpdater - C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe','');
 DeleteSchedulerTask('WindowsUpdater');
 DeleteFile('C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.


  • 0

#5 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 28 Декабрь 2019 - 19:53

А у меня антивирус Kaspersky стоит, не avast. Все равно прогонять  утилитой Avast Remover.?


Сообщение отредактировал Михаил641991: 28 Декабрь 2019 - 19:56

  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 990

Отправлено 28 Декабрь 2019 - 19:57

А у меня антивирус Kaspersky стоит, не avast

Так в логах имеются остатки от антивируса Avast, поэтому указал в рекомендациях как их можно удалить.

Вот пример остатков:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

  • 0

#7 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 28 Декабрь 2019 - 20:50

Сделал

 

uarantine.zip из папки AVZ загрузите этот архив через данную форму   - пишет "ошибка загрузки . данный файл уже был заружен. 
Поэтому сюда прикрепляю 

 


Результаты сканирования. По-моему два раза случайно просканировал

Прикрепленные файлы


Сообщение отредактировал Михаил641991: 28 Декабрь 2019 - 20:51

  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 990

Отправлено 28 Декабрь 2019 - 22:28

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.


  • 0

#9 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 29 Декабрь 2019 - 11:57

Сделал


Сможем хотя бы   файлы .doc .docx .ppt.  pdf  .jpg расшифровать?

Прикрепленные файлы


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 947

Награды

           

Отправлено 29 Декабрь 2019 - 12:14

Образцы пострадавших файлов прикрепите в архиве к следующему сообщению
  • 0
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 29 Декабрь 2019 - 12:36

Такие выбрал, так как формат не вижу + сам файл от шифровальщика

Прикрепленные файлы


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 947

Награды

           

Отправлено 29 Декабрь 2019 - 14:20

Пока так https://www.sendspace.com/file/rdggn9
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 29 Декабрь 2019 - 14:42

Открылось 3 файла - word, pdf, фото! Спасибо  :ura:  а как остальное восстановить? Вам всё прислать? 


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 947

Награды

           

Отправлено 29 Декабрь 2019 - 14:44

Файлы размером 248 байт до шифрования имели нулевой размер. Общий размер пострадавших файлов какой?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   Михаил641991

Михаил641991

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 29 Декабрь 2019 - 15:13

Так как там много файлов (27 тыс.) - на 26 ГБ пишет, если все зашифрованные считать. Я просто их форматы не вижу. Могу выбрать нужные из своих папок,  есть же еще системные файлы


Сообщение отредактировал Михаил641991: 29 Декабрь 2019 - 15:23

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных