Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Нужные файлы зашифрованы WNCRY

Олег 33
 Поделиться

Рекомендуемые сообщения

Олег 33

Олег 33

Опубликовано
Опубликовано

Все файлы находящиеся на диске D стали иметь тип файла WNCRY, к тому же места на диске стало меньше примерно на 10 гб. Помогите, пожалуйста, расшифровать необходимые файлы. 

avz_log.txt

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text=
FF Extension: (Quick Searcher) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\f2i3oftz.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-10-21] [not signed]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
2015-10-21 19:13 - 2015-10-21 19:14 - 63167584 _____ (Kometa LCC) C:\Users\1\AppData\Local\Temp\kometa_vd.exe
2015-06-08 14:18 - 2016-07-01 14:23 - 5168856 _____ (Mail.Ru) C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
2016-02-05 16:04 - 2016-02-05 16:05 - 64836704 ____N (Kometa LCC) C:\Users\1\AppData\Local\Temp\N3S42iQmnaG9.exe
2015-03-10 21:56 - 2015-03-10 21:56 - 0012712 _____ () C:\Users\1\AppData\Local\Temp\nagrest.exe
2016-07-02 23:37 - 2016-07-02 23:37 - 28190848 _____ (Underberry lp) C:\Users\1\AppData\Local\Temp\nss793F.tmp.exe
2017-05-24 21:38 - 2017-05-24 21:38 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s15o.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s1i8.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s2bg.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s46k.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4a4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4ec.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4go.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4m4.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ic.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5m0.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ok.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_sog.dll
2017-05-24 21:38 - 2017-05-24 21:38 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s1e0.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2a8.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2i4.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s320.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s3jc.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s46c.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4jo.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4n4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4o0.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4ps.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4rg.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4to.dll
2015-06-22 08:32 - 2015-06-22 08:32 - 0289200 _____ () C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
AlternateDataStreams: C:\ProgramData:gs5sys [2816]
AlternateDataStreams: C:\Users\1:gs5sys [3074]
AlternateDataStreams: C:\Users\All Users:gs5sys [2816]
AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2816]
AlternateDataStreams: C:\Users\1\Application Data:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Cookies:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Local Settings:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Шаблоны:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Desktop\desktop.ini:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Roaming:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local\Application Data:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Local\History:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2816]
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2816]
Task: {CD864EF1-6960-4CF6-A548-7FDEE6B3BE90} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {FA2E0CE8-4514-4ADE-A74F-6F1B1CBD7D7D} - \WindowsUpdater -> No File <==== ATTENTION
Task: {3A7FFFD7-A0AA-4F68-949C-96C4715F7F55} - \{10BA04F2-8D46-4A3F-BC0F-417A49DA4578} -> No File <==== ATTENTION
Task: {476509C7-C4AE-4D03-A323-85CDC8C2560E} - \ExtensionInstallerX_14 -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем

Олег 33

Олег 33

Опубликовано
  • Автор
Опубликовано

Знаете ли Вы, в ближайшее время сможет появиться дешифратор от такого вируса и ему подобных? 

thyrex

thyrex

Опубликовано
Опубликовано

От этого вряд ли. Если только сами злодеи не сольют ключи.

 

 

Образец зашифрованного файла (лучше doc или docx) прикрепите в архиве к сообщению. Нужно кое-что проверить

thyrex

thyrex

Опубликовано
Опубликовано

Все же это оригинальный WannaCry и расшифровки точно нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • regist
      Пострадавшим от WannaCry
      Автор regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      WNCRY (не готов ждать вечно)
      Автор RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      Шифровальщик WnCry порезвился
      Автор OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      WnCry на сервере
      Автор mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      wncry
      Автор fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...