Шифровальщик WNCRY

[DOMVZORVU]

Здравствуйте, сегодня у меня поработал шифровальщик. Как попал ко мне, я так и не понял. Но был момент, когда пришлось отключить антивирус. 

Зашифрованные файлы имеют расширение .WNCRY После включения антивируса, он приостановил процесс шифрования. Но местами выбивает синий экран. 

Как эти файлы расшифровать. Объясните пожалуйста и избавить от этого синего экрана. Извиняюсь за не правильность составления темы.

И да, сделай утилитой FARBAR проверку, вот логи. 

логи.rar

CollectionLog-2017.05.14-21.26.zip

Изменено 14 мая, 2017 пользователем DOMVZORVU

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[DOMVZORVU]

Порядок оформления запроса о помощи

 

Исправил. 

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\ProgramData\frbrwbaqgep103', '*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\frbrwbaqgep103', '*', true);
 DeleteDirectory('C:\ProgramData\frbrwbaqgep103');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

Zona [2017/03/06 17:16:55]-->C:\PROGRA~2\Zona\uninstall.exe

Это потенциально нежелательно ПО, советую деинсталировать.

 

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 15 мая, 2017 пользователем regist

[DOMVZORVU]

1. https://virusinfo.info/virusdetector/report.php?md5=DBE7FA0CDCD96A6093913F62DA57E4B0

 

 

2. Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
t.wnry

В следующих файлах обнаружен вредоносный код:
@Please_Read_Me@.txt - Trojan-Ransom.Win32.Wanna.aa

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
m_bulgarian.wnry - UDS:DangerousObject.Multi.Generic
m_chinese (simplified).wnry - UDS:DangerousObject.Multi.Generic
m_chinese (traditional).wnry - UDS:DangerousObject.Multi.Generic
m_croatian.wnry - UDS:DangerousObject.Multi.Generic
m_czech.wnry - UDS:DangerousObject.Multi.Generic
m_danish.wnry - UDS:DangerousObject.Multi.Generic
m_dutch.wnry - UDS:DangerousObject.Multi.Generic
m_english.wnry - UDS:DangerousObject.Multi.Generic
m_filipino.wnry - UDS:DangerousObject.Multi.Generic
m_finnish.wnry - UDS:DangerousObject.Multi.Generic
m_french.wnry - UDS:DangerousObject.Multi.Generic
m_german.wnry - UDS:DangerousObject.Multi.Generic
m_greek.wnry - UDS:DangerousObject.Multi.Generic
m_indonesian.wnry - UDS:DangerousObject.Multi.Generic
m_italian.wnry - UDS:DangerousObject.Multi.Generic
m_japanese.wnry - UDS:DangerousObject.Multi.Generic
m_korean.wnry - UDS:DangerousObject.Multi.Generic
m_latvian.wnry - UDS:DangerousObject.Multi.Generic
m_norwegian.wnry - UDS:DangerousObject.Multi.Generic
m_polish.wnry - UDS:DangerousObject.Multi.Generic
m_portuguese.wnry - UDS:DangerousObject.Multi.Generic
m_romanian.wnry - UDS:DangerousObject.Multi.Generic
m_russian.wnry - UDS:DangerousObject.Multi.Generic
m_slovak.wnry - UDS:DangerousObject.Multi.Generic
m_spanish.wnry - UDS:DangerousObject.Multi.Generic
m_swedish.wnry - UDS:DangerousObject.Multi.Generic
m_turkish.wnry - UDS:DangerousObject.Multi.Generic
m_vietnamese.wnry - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

3. ClearLNK-18.05.2017_17-06.log

4.ClearLNK-18.05.2017_17-06.log

ЛОГИ.rar

[regist]

IPSEC - сами прописывали?

C:\Windows\start.bat

Этот файл вам знаком? Если нет, то откройте его блокнотом и напишите здесь его содержимое.

[DOMVZORVU]

C:\Windows\start.bat

Этот файл вам знаком? Если нет, то откройте его блокнотом и напишите здесь его содержимое.

 

@ECHO OFF

cd %windir%

ping 127.0.0.1

secedit /configure /db %windir%\db.sdb

del %windir%\db.sdb

del %sfxcmd%

del %0

 

IPSEC - не знаком, нечего не прописывал. 

Изменено 18 мая, 2017 пользователем DOMVZORVU

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-3445410858-1381275383-3819013034-1000\...\MountPoints2: {6112b10d-00cd-11e7-b932-38d54716eeb0} - G:\SISetup.exe
  HKU\S-1-5-21-3445410858-1381275383-3819013034-1000\...\MountPoints2: {726461c7-fd49-11e6-837c-806e6f6e6963} - E:\Bin\Instv2.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{afac0b3b-3ec2-49b5-bee7-014d2a82e7ef} <======= ATTENTION (Restriction - IP)
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

[DOMVZORVU]

Вот. Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий.
 
Больше помочь нечем, расшифровки пока нет.

[Kent Kent]

script ver. 2017.04.09

Используется локализация на русском языке.

Второй этап сбора логов запустили в 2017.10.15-01:00:38

D:\сссссс\AutoLogger\

C:\Users\1\AppData\Local\Temp\

Ключи командной строки:  HiddenMode=0

Дата последнего обновления = 2017.10.14

Текущая дата = 2017.10.15

Базы актуальны.

Работа скрипта продолжится через 20 секунд...

Ключ для создания дампов при аварийном завершении программ добавлен.

Параметр для тихого создания дампов при аварийном завершении программ добавлен.

IEXPLORE.EXE браузер по умолчанию.

iexplore.exe завершилось вернув код 259

Сейчас будет выполнено сканирование HiJackThis fork (SZ team). Время запуска 2017.10.15-01:03:14

HijackThis завершилось вернув код 0

Сейчас будет выполнено сканирование RSIT. Время запуска 2017.10.15-01:03:21

RSIT завершилось вернув код 0

Сейчас будет выполнено сканирование Check Browsers LNK. Время запуска 2017.10.15-01:03:31

Check Browsers LNK завершилось вернув код 0

Сканирование Check Browsers LNK завершено.

Сейчас логи будут упакованы в архив. Текущее время 2017.10.15-01:03:42

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\Check_Browsers_LNK.log, результат архивации = 0

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\HiJackThis.log, результат архивации = 0

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\info.txt, результат архивации = 0

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\log.txt, результат архивации = 0

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\virusinfo_syscheck.zip, результат архивации = 0

Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\virusinfo_syscure.zip, результат архивации = 0

Ключ для создания дампов при аварийном завершении программ удалён.

Параметр для тихого создания дампов при аварийном завершении программ удалён.

[thyrex]

@Kent Kent, не нужно ерунду выкладывать в сообщении

 

Нужна помощь - создавайте свою тему с предварительным выполнением Порядок оформления запроса о помощи