WanaDecryptor

[Юлия Климова]

Файлы зашифрована. Пыталась почистить, не понятно почистилось или нет и интересно как расшифровать все

CollectionLog-2017.05.13-12.02.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\mfhfbtwfqmsxmap166', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\tasksche.exe');
 DeleteFileMask('C:\ProgramData\mfhfbtwfqmsxmap166', '*', true);
 DeleteDirectory('C:\ProgramData\mfhfbtwfqmsxmap166');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Юлия Климова]

MD5: 12CBFB4C80BF0CBC3D3BC72E72172A66

 

https://virusinfo.info/virusdetector/report.php?md5=12CBFB4C80BF0CBC3D3BC72E72172A66

 

[KLAN-6233259561]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
tasksche.exe - Trojan-Ransom.Win32.Wanna.b
taskdl.exe - Trojan-Ransom.Win32.Agent.aapw
taskse.exe - Trojan-Ransom.Win32.Zapchast.i
u.wnry - Trojan-Ransom.Win32.Wanna.c

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00011.dta.Tor.libeay32.dll
s.wnry/avz00011.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00011.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00011.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00011.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00011.dta.Tor.libssp-0.dll
s.wnry/avz00011.dta.Tor.ssleay32.dll
s.wnry/avz00011.dta.Tor.tor.exe
s.wnry/avz00011.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry
libeay32.dll
libevent_core-2-0-5.dll
libevent_extra-2-0-5.dll
ssleay32.dll
taskhsvc.exe
tor.exe

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ
 

 

 

 

 

ClearLNK-13.05.2017_12-53.log

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1) Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Юлия Климова]

сделано

Еще момент. Заражение обнаружила сразу после включения компа и тут же отключила внешние жесткие не посмотрев что с ними, если ли шанс получить вирус снова после  их обратного подключения к вычищенному компу? и как их лучше проверить

scan.txt

[regist]

Мусор из корзины выбросьте.
 

Еще момент. Заражение обнаружила сразу после включения компа и тут же отключила внешние жесткие не посмотрев что с ними, если ли шанс получить вирус снова после их обратного подключения к вычищенному компу? и как их лучше проверить

Можете тем же MBAM просканированить эти диски.

И антвирус советуюе себе поставить, хотя бы бесплатный. К примеру тот же Антивирус Kaspersky Free.

 

MBAM потом деиснсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

 

Больше помочь нечем, расшифровки пока нет.

[Юлия Климова]

Большое спасибо!

Повезло хоть один винт целый, другой наполовину зашифрован. Теперь обязательно обложусь автоматическими обновлениями и антивирусом