Перейти к содержанию

Нужные файлы зашифрованы WNCRY

Олег 33
 Поделиться

Рекомендуемые сообщения

Олег 33

Олег 33

Опубликовано
Опубликовано

Все файлы находящиеся на диске D стали иметь тип файла WNCRY, к тому же места на диске стало меньше примерно на 10 гб. Помогите, пожалуйста, расшифровать необходимые файлы. 

avz_log.txt

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text=
FF Extension: (Quick Searcher) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\f2i3oftz.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-10-21] [not signed]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
2015-10-21 19:13 - 2015-10-21 19:14 - 63167584 _____ (Kometa LCC) C:\Users\1\AppData\Local\Temp\kometa_vd.exe
2015-06-08 14:18 - 2016-07-01 14:23 - 5168856 _____ (Mail.Ru) C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
2016-02-05 16:04 - 2016-02-05 16:05 - 64836704 ____N (Kometa LCC) C:\Users\1\AppData\Local\Temp\N3S42iQmnaG9.exe
2015-03-10 21:56 - 2015-03-10 21:56 - 0012712 _____ () C:\Users\1\AppData\Local\Temp\nagrest.exe
2016-07-02 23:37 - 2016-07-02 23:37 - 28190848 _____ (Underberry lp) C:\Users\1\AppData\Local\Temp\nss793F.tmp.exe
2017-05-24 21:38 - 2017-05-24 21:38 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s15o.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s1i8.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s2bg.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s46k.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4a4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4ec.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4go.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4m4.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ic.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5m0.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ok.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_sog.dll
2017-05-24 21:38 - 2017-05-24 21:38 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s1e0.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2a8.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2i4.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s320.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s3jc.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s46c.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4jo.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4n4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4o0.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4ps.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4rg.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4to.dll
2015-06-22 08:32 - 2015-06-22 08:32 - 0289200 _____ () C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
AlternateDataStreams: C:\ProgramData:gs5sys [2816]
AlternateDataStreams: C:\Users\1:gs5sys [3074]
AlternateDataStreams: C:\Users\All Users:gs5sys [2816]
AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2816]
AlternateDataStreams: C:\Users\1\Application Data:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Cookies:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Local Settings:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Шаблоны:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Desktop\desktop.ini:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Roaming:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local\Application Data:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Local\History:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2816]
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2816]
Task: {CD864EF1-6960-4CF6-A548-7FDEE6B3BE90} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {FA2E0CE8-4514-4ADE-A74F-6F1B1CBD7D7D} - \WindowsUpdater -> No File <==== ATTENTION
Task: {3A7FFFD7-A0AA-4F68-949C-96C4715F7F55} - \{10BA04F2-8D46-4A3F-BC0F-417A49DA4578} -> No File <==== ATTENTION
Task: {476509C7-C4AE-4D03-A323-85CDC8C2560E} - \ExtensionInstallerX_14 -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем

Олег 33

Олег 33

Опубликовано
  • Автор
Опубликовано

Знаете ли Вы, в ближайшее время сможет появиться дешифратор от такого вируса и ему подобных? 

thyrex

thyrex

Опубликовано
Опубликовано

От этого вряд ли. Если только сами злодеи не сольют ключи.

 

 

Образец зашифрованного файла (лучше doc или docx) прикрепите в архиве к сообщению. Нужно кое-что проверить

thyrex

thyrex

Опубликовано
Опубликовано

Все же это оригинальный WannaCry и расшифровки точно нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muhamor
      Зашифровало нужные файлы.
      Автор Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
    • Ilya45
      Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • tr01
      Нужна помощь с восстановлением файлов
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...