Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик @WanaDecryptor@.exe

SSW1977
 Поделиться

Рекомендуемые сообщения

regist

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
HKU\S-1-5-21-742420737-4047338319-2776577106-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-742420737-4047338319-2776577106-1000\...\MountPoints2: {1c4b0930-2591-11e6-b1a3-000e0c5f9bd7} - F:\autorun.exe
2017-05-12 16:34 - 2017-05-12 19:22 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
2017-02-09 11:10 - 2017-02-09 11:10 - 3039448 _____ () C:\Users\Home\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-02-09 11:10 - 2017-02-09 11:10 - 3039448 _____ () C:\Users\Home\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2017-02-09 11:10 - 2017-02-09 11:10 - 3039448 _____ () C:\Users\Home\AppData\Local\Temp\hcv_mailruhomesearch.exe
2017-02-09 11:10 - 2017-02-09 11:10 - 3039448 _____ () C:\Users\Home\AppData\Local\Temp\mailruhomesearch.exe
2017-02-09 11:10 - 2017-01-19 00:41 - 4167384 _____ (Mail.Ru) C:\Users\Home\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
SSW1977

SSW1977

Опубликовано
  • Автор
Опубликовано (изменено)

Найдено 4 уязвимости - сейчас исправим, лог ниже.

В папках остались файлы @Please_Read_Me@ и @WanaDecryptor@, их пока не трогать или удалить?

Fixlog.txt

Изменено пользователем SSW1977
regist

regist

Опубликовано
Опубликовано

 

 


В папках остались файлы @Please_Read_Me@ и @WanaDecryptor@, их пока не трогать или удалить?
Один оставьте, если вдруг в будущем понадобится версию идентифицировать для расшифровки. А остальные можете удалять.
SSW1977

SSW1977

Опубликовано
  • Автор
Опубликовано

Еще раз спасибо большое за помощь, ждем дешифратор...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VitMai
      Зашифрованные файлы wanna_cry с 12.05.2017
      Автор VitMai
      Добрый день были зашифрованы файлы вирусом в мае.
       
      Операционная система вроде переустанавливалась.
      Зараженные файлы так и лежат на компьютере.

      Помогите пожалуйста, ждал надеялся что появится дешифратор или какая-то таблетка.

      в архиве 2 файла:
      @Please_Read_Me@.txt
      Стас_SNG.txt.WNCRY
       
       
    • mcko
      WnCry на сервере
      Автор mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      wncry
      Автор fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
    • Bryn
      Нужна помощь в расшифровке файлов после атаки Wanncry
      Автор Bryn
      Доброго время суток, родительский ПК был заражен вирусом Wannacry,  файлы все зашифрованы, вирус почистил, нужна ваша помощь в расшифровке данных логи  прикрепляю 
      CollectionLog-2017.10.15-23.36.zip
    • DOMVZORVU
      Шифровальщик WNCRY
      Автор DOMVZORVU
      Здравствуйте, сегодня у меня поработал шифровальщик. Как попал ко мне, я так и не понял. Но был момент, когда пришлось отключить антивирус. 
      Зашифрованные файлы имеют расширение .WNCRY После включения антивируса, он приостановил процесс шифрования. Но местами выбивает синий экран. 
      Как эти файлы расшифровать. Объясните пожалуйста и избавить от этого синего экрана. Извиняюсь за не правильность составления темы.
      И да, сделай утилитой FARBAR проверку, вот логи. 
      логи.rar
      CollectionLog-2017.05.14-21.26.zip
×
×
  • Создать...