Перейти к содержанию

Нужные файлы зашифрованы WNCRY


Рекомендуемые сообщения

Все файлы находящиеся на диске D стали иметь тип файла WNCRY, к тому же места на диске стало меньше примерно на 10 гб. Помогите, пожалуйста, расшифровать необходимые файлы. 

avz_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteFile('C:\Users\1\AppData\Roaming\WindowsUpdater\Updater.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
HKU\S-1-5-21-1387872098-3903670545-3614849235-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1387872098-3903670545-3614849235-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=455ec6b0e0420868d86bb4f2ed19fa69&text=
FF Extension: (Quick Searcher) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\f2i3oftz.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-10-21] [not signed]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
2015-10-21 19:13 - 2015-10-21 19:14 - 63167584 _____ (Kometa LCC) C:\Users\1\AppData\Local\Temp\kometa_vd.exe
2015-06-08 14:18 - 2016-07-01 14:23 - 5168856 _____ (Mail.Ru) C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
2016-02-05 16:04 - 2016-02-05 16:05 - 64836704 ____N (Kometa LCC) C:\Users\1\AppData\Local\Temp\N3S42iQmnaG9.exe
2015-03-10 21:56 - 2015-03-10 21:56 - 0012712 _____ () C:\Users\1\AppData\Local\Temp\nagrest.exe
2016-07-02 23:37 - 2016-07-02 23:37 - 28190848 _____ (Underberry lp) C:\Users\1\AppData\Local\Temp\nss793F.tmp.exe
2017-05-24 21:38 - 2017-05-24 21:38 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s15o.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s1i8.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s2bg.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s46k.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4a4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4ec.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4go.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s4m4.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ic.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5m0.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_s5ok.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0072704 _____ () C:\Users\1\AppData\Local\Temp\rldfw32_sog.dll
2017-05-24 21:38 - 2017-05-24 21:38 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s1e0.dll
2016-04-24 11:26 - 2016-04-24 11:26 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2a8.dll
2017-05-26 22:36 - 2017-05-26 22:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s2i4.dll
2016-04-23 23:04 - 2016-04-23 23:04 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s320.dll
2017-05-27 17:48 - 2017-05-27 17:48 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s3jc.dll
2017-05-23 23:39 - 2017-05-23 23:39 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s46c.dll
2017-05-25 21:18 - 2017-05-25 21:18 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4jo.dll
2016-04-24 16:08 - 2016-04-24 16:08 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4n4.dll
2016-04-23 18:15 - 2016-04-23 18:15 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4o0.dll
2017-05-23 23:36 - 2017-05-23 23:36 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4ps.dll
2016-04-23 18:21 - 2016-04-23 18:21 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4rg.dll
2016-04-23 18:25 - 2016-04-23 18:25 - 0084992 _____ () C:\Users\1\AppData\Local\Temp\rldfw64_s4to.dll
2015-06-22 08:32 - 2015-06-22 08:32 - 0289200 _____ () C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
AlternateDataStreams: C:\ProgramData:gs5sys [2816]
AlternateDataStreams: C:\Users\1:gs5sys [3074]
AlternateDataStreams: C:\Users\All Users:gs5sys [2816]
AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2816]
AlternateDataStreams: C:\Users\1\Application Data:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Cookies:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Local Settings:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Шаблоны:gs5sys [3074]
AlternateDataStreams: C:\Users\1\Desktop\desktop.ini:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Roaming:gs5sys [2560]
AlternateDataStreams: C:\Users\1\AppData\Local\Application Data:gs5sys [3074]
AlternateDataStreams: C:\Users\1\AppData\Local\History:gs5sys [2560]
AlternateDataStreams: C:\Users\1\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2816]
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys [2048]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2816]
Task: {CD864EF1-6960-4CF6-A548-7FDEE6B3BE90} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {FA2E0CE8-4514-4ADE-A74F-6F1B1CBD7D7D} - \WindowsUpdater -> No File <==== ATTENTION
Task: {3A7FFFD7-A0AA-4F68-949C-96C4715F7F55} - \{10BA04F2-8D46-4A3F-BC0F-417A49DA4578} -> No File <==== ATTENTION
Task: {476509C7-C4AE-4D03-A323-85CDC8C2560E} - \ExtensionInstallerX_14 -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

От этого вряд ли. Если только сами злодеи не сольют ключи.

 

 

Образец зашифрованного файла (лучше doc или docx) прикрепите в архиве к сообщению. Нужно кое-что проверить

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...