Перейти к содержанию

зашифровались файлы, расширение wncry


Рекомендуемые сообщения

Добрый день.

Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.

Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.

Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.

 

Заранее спасибо

CollectionLog-2017.06.20-11.42.zip

Archive.rar

Изменено пользователем andy1983
Ссылка на комментарий
Поделиться на другие сайты

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Спасибо за быструю реакцию, мне тоже показалось, что это вряд ли "сам" wannacry, но мне не дает покоя вопрос - откуда он взялся? ) И где он сейчас? )

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 Готово!

Shortcut.txt

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

@andy1983, на SafeZone тему закрываем?

Вы одни и те же люди? ) Как надо сделать, так давайте и сделаем. Как там закрыть - указать, что тема перенесена в этот тред?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Вы одни и те же люди?
Да.

 

 


Как надо сделать, так давайте и сделаем.
Лечать на разных ресурсах вы можете навредить себе принимая несовместимые лекарства.

 

 

GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Сами настраивали?

 

И это таки советую деинсталировать

 

Unity Web Player
 Служба автоматического обновления программ


 

 


Как там закрыть - указать, что тема перенесена в этот тред?
закрыл.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Спасибо. Просто мне и на том ресурсе помню помогли, поэтому уже начал стучаться во все двери )

Политики я не настраивал, во всяком случае не помню, изначально не должен был.

Софт, который советовали деинсталлировать - деинсталлировал.

Жду дальнейших указаний.

Ссылка на комментарий
Поделиться на другие сайты

CHR Extension: (Перекуп клуб) - C:\Users\Пестерев Д А\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjpbbodhmcnmknjdnalpgbljklikfnfn [2017-06-09]
OPR Extension: (Советник Яндекс.Маркета) - C:\Users\Пестерев Д А\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmdhajlcfmlocjeihknhbbekjaageelh [2017-04-05]

В Хроме и в Опере соотственно эти расширения вам знакомы? Если нет, то удалите.

 

  • Отключите до перезагрузки антивирус.

  • Выделите следующий код:

     

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Documents\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Гость\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Все пользователи\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Public\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Default.migrated\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\ProgramData\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:38 - 2017-06-20 02:38 - 00006959 _____ C:\Users\Temp\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
    2017-06-20 02:38 - 2017-06-20 02:38 - 00006959 _____ C:\Users\Temp\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2015-12-04 15:37 - 2015-12-04 15:37 - 0000017 _____ () C:\Users\Пестерев Д А\AppData\Local\resmon.resmoncfg
    2015-12-17 10:53 - 2015-12-17 11:21 - 0000400 _____ () C:\ProgramData\hpzinstall.log.wncry
    2017-06-20 02:41 - 2017-06-20 02:41 - 0006959 _____ () C:\ProgramData\Инструкция по расшифровке файлов WannaCry.TXT
    2017-01-19 02:07 - 2017-04-14 20:21 - 4127960 _____ (Mail.Ru) C:\Users\Пестерев Д А\AppData\Local\Temp\mrutmp.exe
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Все сделал, только что-то запарился, как то непонятно было отработала программа или нет и поэтому запускал несколько раз.

Последний лог выглядит вот так, как будто он уже ничего не нашел, и правда, посмотрел - а там, куда пути ссылаются уже ничего нет. Причем первый раз программа выполнялась очень долго, а второй раз быстро.

а, да и расширения из браузеров удалил.

Fixlog.txt

Изменено пользователем andy1983
Ссылка на комментарий
Поделиться на другие сайты

Рекомендация написана для пользователя andy1983.
 
Скачайте этот архив, распакуйте и запустите утилиту оттуда. Выберите путь к зашифрованным файлам и нажмите Decrypt. По умолчанию там выбран диск С:\.


+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Ссылка на комментарий
Поделиться на другие сайты

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

Ссылка на комментарий
Поделиться на другие сайты

 

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

 

На том компе есть учетка temp, которую завел сам пользователь, причем дал ей права админа (у него тоже права админа, я ему доверял )) и видимо поставил какой то простой пароль. А комп смотрит RDP наружу (у нас белый ip и NAT, понятное дело я не прямой 3389 кидаю в сеть, но просканить то недолго). И по логам сегодня ближе к вечеру уже увидел что на эту учетку ночью кто -то пытался-пытался и наконец залогинился. Там же на рабочем столе нашел два архива по типу sssss.zip, Они оба тоже зашифрованы, но что-то мне подсказывает, что запуск происходил именно их этих архивов, могу их выложить сюда, если специалистам интересно будет. То есть в моем случае видимо отсканили порт, взломали пароль и запустили руками шифровальщик.

Изменено пользователем andy1983
Ссылка на комментарий
Поделиться на другие сайты

 

 

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

 

На том компе есть учетка temp, которую завел сам пользователь, причем дал ей права админа (у него тоже права админа, я ему доверял )) и видимо поставил какой то простой пароль. А комп смотрит RDP наружу (у нас белый ip и NAT, понятное дело я не прямой 3389 кидаю в сеть, но просканить то недолго). И по логам сегодня ближе к вечеру уже увидел что на эту учетку ночью кто -то пытался-пытался и наконец залогинился. Там же на рабочем столе нашел два архива по типу sssss.zip, Они оба тоже зашифрованы, но что-то мне подсказывает, что запуск происходил именно их этих архивов, могу их выложить сюда, если специалистам интересно будет. То есть в моем случае видимо отсканили порт, взломали пароль и запустили руками шифровальщик.

 

У меня вчера было подозрения на RDP, так как к этому компу есть белый IP :(

Ссылка на комментарий
Поделиться на другие сайты

@Александр Корешков, это раздел для лечения и тут есть свои правила, которые запрещают "влазить" в чужие темы. Для "поболтать" есть другой раздел.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...