WanaDecryptor зашифровал все файлы

15 мая, 2017

Друзья! На работе случилась беда! На машину главбуха поймали данную гадость! Помогите расшифровать файлы, так как очень много важной информации!

CollectionLog-2017.05.15-14.36.zip

15 мая, 2017

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\ProgramData\syampysmxgy539', '*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\syampysmxgy539', '*', true);
 DeleteDirectory('C:\ProgramData\syampysmxgy539');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-19\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-21-3085168805-1034578831-3583705237-1007\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing) (User 'ag1')
O22 - Task (Ready): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

16 мая, 2017

Добрый день! И так, начну по порядку:

1. Ссылки полученные после virusinfo_auto_РС6.zip : одна и вторая

2. Полученный ответ от newvirus@kaspersky.com:

[KLAN-6247034234]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
libeay32.dll
libevent_core-2-0-5.dll
libevent_extra-2-0-5.dll
ssleay32.dll
taskhsvc.exe
tor.exe

В следующих файлах обнаружен вредоносный код:
@Please_Read_Me@.txt - Trojan-Ransom.Win32.Wanna.aa

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

3. Отчет о работе CleanLNK

4. Отчеты работы Farbar Recovery Scan Tool

ClearLNK-16.05.2017_09-52.log

FRST.txt

Addition.txt

Shortcut.txt

Изменено 16 мая, 2017 пользователем pro1oo

16 мая, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e] => C:\Users\Admin\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [592 2017-05-15] () <===== ATTENTION
HKU\S-1-5-21-3085168805-1034578831-3583705237-1000\...\MountPoints2: {0db860e9-df39-11e3-a405-806e6f6e6963} - E:\Install.exe
HKU\S-1-5-21-3085168805-1034578831-3583705237-1000\...\MountPoints2: {47d7cf12-df3c-11e3-b357-00016c1dc8af} - F:\setup.exe
HKU\S-1-5-21-3085168805-1034578831-3583705237-1007\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8686296 2016-03-11] (Piriform Ltd)
HKU\S-1-5-21-3085168805-1034578831-3583705237-1007\...\MountPoints2: {ffe9395e-5f90-11e5-9218-00016c1dc8af} - F:\Lenovo_Suite.exe
FF Extension: (No Name) - C:\Program Files (x86)\360\Total Security\safemon\webprotection_firefox [not found]
OPR Extension: (Защита от веб-угроз 360) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnpeghmjdfdmneiljeibjnemfdkojdhl [2017-05-15]
2017-05-15 13:32 - 2017-05-11 19:13 - 01440054 _____ C:\Users\ag1\Desktop\@WanaDecryptor@.bmp
2017-05-12 14:07 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\DefaultAppPool\Desktop\@WanaDecryptor@.exe
2017-05-12 14:07 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Default\Desktop\@WanaDecryptor@.exe
2017-05-12 14:07 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Default User\Desktop\@WanaDecryptor@.exe
2017-05-12 14:07 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Classic .NET AppPool\Desktop\@WanaDecryptor@.exe
2017-05-12 14:07 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Admin\Desktop\@WanaDecryptor@.exe
2017-05-12 14:07 - 2017-05-11 19:13 - 01440054 _____ C:\Users\DefaultAppPool\Desktop\@WanaDecryptor@.bmp
2017-05-12 14:07 - 2017-05-11 19:13 - 01440054 _____ C:\Users\Default\Desktop\@WanaDecryptor@.bmp
2017-05-12 14:07 - 2017-05-11 19:13 - 01440054 _____ C:\Users\Default User\Desktop\@WanaDecryptor@.bmp
2017-05-12 14:07 - 2017-05-11 19:13 - 01440054 _____ C:\Users\Classic .NET AppPool\Desktop\@WanaDecryptor@.bmp
2017-05-12 14:07 - 2017-05-11 19:13 - 01440054 _____ C:\Users\Admin\Desktop\@WanaDecryptor@.bmp
2017-05-12 13:56 - 2017-05-12 12:45 - 00000933 _____ C:\Users\ag1\Downloads\@Please_Read_Me@.txt
2017-05-12 13:56 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\ag1\Downloads\@WanaDecryptor@.exe
2017-05-12 13:52 - 2017-05-12 12:45 - 00000933 _____ C:\Users\ag1\AppData\Local\@Please_Read_Me@.txt
2017-05-12 13:52 - 2017-05-12 12:45 - 00000933 _____ C:\Users\Admin\Downloads\@Please_Read_Me@.txt
2017-05-12 13:52 - 2017-05-12 12:45 - 00000933 _____ C:\Users\Admin\AppData\Local\@Please_Read_Me@.txt
2017-05-12 13:52 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Admin\Downloads\@WanaDecryptor@.exe
2017-05-12 13:46 - 2017-05-12 12:45 - 00000933 _____ C:\Users\ag1\Documents\@Please_Read_Me@.txt
2017-05-12 13:46 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\ag1\Documents\@WanaDecryptor@.exe
2017-05-12 12:46 - 2017-05-12 12:45 - 00000933 _____ C:\Users\ag1\Desktop\@Please_Read_Me@.txt
2017-05-12 12:46 - 2017-05-12 01:22 - 00245760 _____ (Microsoft Corporation) C:\Users\ag1\Desktop\@WanaDecryptor@.exe
2017-05-12 12:45 - 2017-05-16 09:49 - 00000000 ___HD C:\ProgramData\syampysmxgy539
2017-05-12 12:45 - 2017-05-12 14:43 - 03514368 ____S (Microsoft Corporation) C:\Windows\tasksche.exe
2017-05-12 12:45 - 2017-05-12 14:40 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
2017-05-12 13:41 - 2014-07-11 10:27 - 07827768 ____N C:\Users\ag1\AppData\Local\IconCache.db.WNCRY
HKU\S-1-5-21-3085168805-1034578831-3583705237-1007\Control Panel\Desktop\\Wallpaper -> C:\Users\ag1\Desktop\@WanaDecryptor@.bmp
FirewallRules: [{42927256-C2B9-4B9B-898C-8C76647C398A}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{C5614D4A-1D05-4CBD-88CC-B97EF63FA7C9}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{06E67951-DA68-4FE2-9755-CA21BB1E0D8A}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe
FirewallRules: [{2D4A4C22-DD77-4E73-AE45-19BB8F671DA6}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe

Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]

17 мая, 2017

Добрый день! Скрипт выполнил, правда комп сам не перезагрузился...

Fixlog.txt

17 мая, 2017

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий.

Больше помочь нечем, расшифровки пока нет.

WanaDecryptor зашифровал все файлы

Рекомендуемые сообщения

pro1oo

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

pro1oo

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

pro1oo

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum