Шифровальщик WannaDecryptor

[regist]

1) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  BHO: Weatherbar x64 Class -> {B0B85626-F9B4-47C0-9151-FB9A45ABCD37} -> C:\Program Files\tooldev342\Weatherbar\\TracersToolbarBHO_x64.dll => No File
  BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Toolbar: HKU\S-1-5-21-3723169638-2650639052-2470591867-1002 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha3966.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha3966\ff => not found
  FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta344.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta344\ff => not found
  FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha747.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha747\ff => not found
  FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha244.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha244\ff => not found
  FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha3440.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3440\ff => not found
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2017-05-13 02:44 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default\Desktop\@WanaDecryptor@.bmp
  2017-05-13 02:44 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default User\Desktop\@WanaDecryptor@.bmp
  2017-05-13 02:27 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Администратор\Downloads\@Please_Read_Me@.txt
  2017-05-13 02:25 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Администратор\AppData\Roaming\@Please_Read_Me@.txt
  2017-05-13 02:24 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Администратор\@Please_Read_Me@.txt
  2017-05-13 02:24 - 2017-05-12 02:22 - 00245760 _____ C:\Users\Администратор\@WanaDecryptor@.exe
  2017-05-13 02:22 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Админ2014\Downloads\@Please_Read_Me@.txt
  2017-05-13 02:20 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Админ2014\AppData\Local\@Please_Read_Me@.txt
  2017-05-13 02:20 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Админ2014\@Please_Read_Me@.txt
  2017-05-12 22:56 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Администратор\Desktop\@WanaDecryptor@.bmp
  2017-05-12 18:39 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Администратор\Documents\@Please_Read_Me@.txt
  2017-05-12 18:39 - 2017-05-12 02:22 - 00245760 _____ C:\Users\Администратор\Documents\@WanaDecryptor@.exe
  2017-05-12 18:36 - 2017-05-12 18:33 - 00000933 _____ C:\Users\Администратор\Desktop\@Please_Read_Me@.txt
  2017-05-13 05:43 - 2012-10-08 15:10 - 00000000 __SHD C:\ProgramData\LMSegTq8HhU
  2015-11-14 22:16 - 2015-11-14 22:19 - 176854456 _____ () C:\Program Files\a0jtaect.exe
  2013-03-17 13:30 - 2008-08-28 18:06 - 4743112 _____ (DT Soft Ltd.) C:\Program Files (x86)\daemon4301-lite.exe
  2017-05-13 02:20 - 2017-05-12 18:33 - 0000933 _____ () C:\Users\Админ2014\AppData\Local\@Please_Read_Me@.txt
  2016-03-24 22:39 - 2016-03-26 02:04 - 0002741 _____ () C:\Users\Админ2014\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd
  2016-03-24 22:39 - 2016-03-26 02:04 - 238722504 ____N () C:\Users\Админ2014\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.WNCRY
  2014-12-22 22:24 - 2017-03-24 22:07 - 0005120 _____ () C:\Users\Админ2014\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
  2014-02-13 22:20 - 2014-02-25 18:29 - 1762848 ____N (Mail.Ru) C:\Users\Администратор\AppData\Local\Temp\MailRuUpdater.exe
  AlternateDataStreams: C:\ProgramData\Microsoft:D2Ybno8JGyiYJayDcSOG2GrRZzbh [2184]
  AlternateDataStreams: C:\ProgramData\Microsoft:qqv2nV2ywIiVJeZRQqyY7ZUA [2184]
  AlternateDataStreams: C:\ProgramData\Microsoft:Vemkdlw4RBGw1SZL6s9PlAhSlxHp [2370]
  AlternateDataStreams: C:\ProgramData\Microsoft:Yb8zRh2pwbmn2bhn6ggCvv [2442]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [274]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [274]
  AlternateDataStreams: C:\Users\Админ2014\AppData\Local\Temp:bd7Kd6yOg8vhrbbHjhjlC5Vgy [2192]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:D2Ybno8JGyiYJayDcSOG2GrRZzbh [2184]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:qqv2nV2ywIiVJeZRQqyY7ZUA [2184]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:Vemkdlw4RBGw1SZL6s9PlAhSlxHp [2370]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:Yb8zRh2pwbmn2bhn6ggCvv [2442]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [274]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [274]
  FirewallRules: [{BA25181F-11A5-428E-8C51-40B2B819E08D}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe
  FirewallRules: [{9E8DE54A-E0C4-40C1-A75C-7F97F55FD399}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

3)

Java(TM) 6 Update 23 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416023FF}) (Version: 6.0.230 - Oracle)
Java(TM) 6 Update 23 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216023FF}) (Version: 6.0.230 - Oracle)
ph (x32 Version: 1.0.0 - Your Company Name) Hidden

деинсталируйте.

Элементы Яндекса 7.2 для Internet Explorer (HKLM-x32\...\{EE24665C-844A-4489-9F11-70E41F4EE476}) (Version: 7.2.5.3111 - Яндекс)

если не используете, то тоже.

[NikZn]

Выполнено

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
 
Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий.
 
Больше помочь нечем, расшифровки пока нет.

[NikZn]

Скажите, есть ли продвижение в расшифровке? И что делать, если шифр так и не будет подобран?

[regist]

 

 

И что делать, если шифр так и не будет подобран?

Жить дальше )))).

Если расшифровку сделают, то про это думаю на всех сайтах будут писать. Так что просто следите за новостями.

[NikZn]

А до подбора ключа создавать новые файлы нельзя, я правильно понимаю?

[regist]

Создавайте и пользуйтесь как обычно. Может никогда расшифровки не будет.

[NikZn]

Да, знаю о такой вероятности

А если зашифрованы файлы программы, например, Adobe Audition, без которых эта прога не запускается, то нужно ее деинсталлировать и переустановить?

[regist]

Да.

[NikZn]

Спасибо Вам за помощь!