Шифровка файлов, расширение WNCRY

[Кирилл Имполитов]

Зашифровались почти все файлы , буду рад вашей помощи в расшифровке.

[Soft]

Порядок оформления запроса о помощи

[Кирилл Имполитов]

файлы протоколов

CollectionLog-2017.06.28-00.26.zip

[regist]

Здравствуйте!

 

Сразу скажу, что расшифровки нет. Можем только вирусню почистить, которая до сих пор у вас активна. И это не удивительно.

Обновления винды вы не ставите (вот и последствия), антивируса у вас тоже нет (хотя уже даже практически никому неизвестные антивирусы добавили себе в базы сигнатуру этого виря). И в логах видны ошмётки Байду, ставили его сами или и его вирус поставил?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\sppsrv.exe', '');
 QuarantineFile('C:\ProgramData\nbycpnhfeuvua082\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\nbycpnhfeuvua082', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\Fonts\sppsrv.exe', '32');
 DeleteFile('C:\ProgramData\nbycpnhfeuvua082\tasksche.exe', '32');
 DeleteService('clr_optimization_v4.0.30339');
 DeleteService('nbycpnhfeuvua082');
 DeleteFileMask('C:\ProgramData\nbycpnhfeuvua082', '*', true);
 DeleteDirectory('C:\ProgramData\nbycpnhfeuvua082');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

+

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 и остальные обновления безопасности.
И в будущем не забывайте своевременно обновляться.

Изменено 27 июня, 2017 пользователем regist

[Кирилл Имполитов]

Добрый день, 

quarantine.zip [KLAN-6468123620]

30 июн в 15:00

 

 

newvirus@kaspersky.comnewvirus@kaspersky.com

 

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

Обновление не ставится... , бесконечная установка.

Изменено 31 июля, 2017 пользователем Кирилл Имполитов

[regist]

Поставьте тогда свежий роллап через центр обновления виндоус.

 

+ жду всё остальное.

[Кирилл Имполитов]

Вообщем, обновление так и не получается поставить, бесконечное окно "поиск обновлений..."

 

И подскажите еще пожалуйста, что помимо обновлений от меня требуется? И как решить вопрос с обновлениями

Изменено 31 июля, 2017 пользователем Кирилл Имполитов

[Sandor]

+ жду всё остальное.

Сделайте пока это.

[Кирилл Имполитов]

логи 

CollectionLog-2017.07.31-15.18.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Кирилл Имполитов]

FarBar отчеты

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe"  -stmd=3
  HKLM\...\Run: [BaiduClient] => "c:\users\kirill\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe" -noclient
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{24dc8c72-dbda-4f7e-b322-298951866d1d} <==== ATTENTION (Restriction - IP)
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=openpart5
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
  CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636
  Task: {113746BA-D67E-4FB2-99A1-E7D6AAFFD38E} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
  Task: {C056F759-0D99-4BAA-B44B-140CF8546CCF} - \Mysa -> No File <==== ATTENTION
  FirewallRules: [{27700019-A42F-4D2B-9D4F-13EBEC4AC94F}] => (Allow) $LOCALAPPDATA\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe
  FirewallRules: [{57B2577B-34FD-46CB-9615-1680FB03D54F}] => (Allow) C:\Users\KirilL\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe
  FirewallRules: [{125663D2-9E33-444C-9BF5-E821F1430F77}] => (Allow) C:\Users\KirilL\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe
  FirewallRules: [{891C35CC-AF8C-45E8-BD15-FA9556176730}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
  FirewallRules: [{F03C4A14-B73B-41A1-9665-6300A4D64990}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
  FirewallRules: [{F9043E1B-4584-48A6-94C9-465D9DD737B9}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
  FirewallRules: [{19CE3E66-BE12-44E4-8106-3B59EA51F3D0}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
  FirewallRules: [{F493F195-FFA4-48D2-9FE9-3BB5C9A6148D}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
  FirewallRules: [{46D23498-C0F0-40A8-B499-E0326B58886A}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
  FirewallRules: [{3E1ADC0C-79B6-4C0D-A308-E00B871FCB93}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
  FirewallRules: [{D08D27BC-65AA-407D-90E4-6B0A89492BE2}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
  FirewallRules: [{209BE1F9-9EEA-4C99-9011-2974AE2FFE6A}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
  FirewallRules: [{35CB83E9-665B-4E54-BEE6-8D9AD8CB021B}] => (Allow) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
  FirewallRules: [{8F2867B6-12C4-4C0B-983E-A423A63CA8CB}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{C8335C3C-985B-4530-A929-D57830C27308}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{0209225E-BD55-4F7F-85D1-6F82C3F187FE}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{2C3D8EDC-827F-4FEB-8A0A-C621857B31B9}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{0D8FFB9C-973C-4496-8FED-182502FFB720}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{F597DFED-2FA6-45B9-BC67-4C60B56CBF52}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{F1BAF057-DD91-4948-A922-143C79EA097C}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{1C404ABC-96D5-472C-8184-1849B9DE2694}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
  FirewallRules: [{98D6B4B1-FC01-4FF4-9B3E-94C33EC36F5B}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
  FirewallRules: [{302C8F22-48E8-4A43-BD10-6572EC334831}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
  FirewallRules: [{E521A70F-F446-402C-A553-4AE40D365CA8}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
  FirewallRules: [{62BC913F-B026-4444-A4FC-129E03AFFA7E}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
  FirewallRules: [{428208D3-A075-43F8-A01C-DC52BB16B17E}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
  FirewallRules: [{FFBAAFAF-B237-4825-A031-FB43D56BB8C0}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
  FirewallRules: [{0888E2A9-8BE4-4366-B64E-DEF37E2F594A}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
  FirewallRules: [{BC7921E2-E351-48AA-828A-81F8E0B5C1FF}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
  FirewallRules: [{57F8DE9B-AC14-4311-B37A-5F2041C7CA56}] => (Allow) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
  FirewallRules: [{6ECA32AD-5F9F-455E-ADE4-6AAA5F2AE526}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
  FirewallRules: [{4F874C0D-1278-460B-9C71-69F26E2BA8E7}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
  FirewallRules: [{D84D2CD5-BA65-4EA5-B673-7B7B7033CC2E}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\BaiduUpdate.exe
  FirewallRules: [{DC0EDF8B-45F0-49F3-BF40-D6036DD9BD12}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\BaiduUpdate.exe
  FirewallRules: [{14109395-CC2B-4E22-B544-D79639DA8F2A}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\BaiduBugRpt.exe
  FirewallRules: [{AEC0E83D-F375-4C71-AF9F-F28F0DA0DF7B}] => (Allow) C:\Users\KirilL\AppData\Local\Baidu\Baidu\1.3.1.157\BaiduBugRpt.exe
  FirewallRules: [{75774F82-3CAC-4C0E-8620-3ACA80E04C66}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
  FirewallRules: [{69065E7C-555E-4E51-8422-8248E3A3104D}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
  FirewallRules: [{2C6082FF-02C1-47E4-9F99-E884FB59DA05}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
  FirewallRules: [{28D8B114-9941-45EB-885F-00C218A2AED6}] => (Allow) C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Кирилл Имполитов]

фикслог

Fixlog.txt

[Sandor]

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

как решить вопрос с обновлениями

Иногда поиск и установка занимают длительное время. Запланируйте эту операцию на ночь.

[regist]

+

1) папку C:\FRST заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

2) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

3)

 

 

Вообщем, обновление так и не получается поставить, бесконечное окно "поиск обновлений..." И подскажите еще пожалуйста, что помимо обновлений от меня требуется? И как решить вопрос с обновлениями Прикрепленные изображения

Дополню, что это нормально (глюки со стороны MS), иногда на это уходит несколько часов, но это не означает что "бесконечно", просто надо подождать дольше.

 

А если не поставите его, то есть огромная вероятность, что буквально через 5 минут у вас опять будет таже зараза сидеть.