Перейти к содержанию

wncry требуется помощь восстановить файлы


Рекомендуемые сообщения

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, {17241AAD-5722-0BAB-B2D2-665B53021B0B}

Этот ключ если ещё остался, то удалите.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Кнопка "Яндекс" на панели задач

поищите пару зашифрованный и оригинал файлы.

Нашли?
Ссылка на сообщение
Поделиться на другие сайты
Владимир Николаев

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Кнопка "Яндекс" на панели задач

поищите пару зашифрованный и оригинал файлы.

Нашли?

 

 

 

Нежелательное ПО удалил. 

Система работала автономно, без монитора, мышки, клавиатуры, по RDP из ЛОКАЛЬНОЙ закрытой сети. 

не понятно, как она вообще, заразилась...

 

С системы не отправлялись по почте данные никуда ... но мы не останавливаемся ) Продолжаем искать на других компьютерах сети файлы. Возможно еще найдем! 

Вот, удалось найти аж 2 файла! 

Для склада.xls

Турция поступление 2016.xlsx

Для склада.xls.wncry.zip

Турция поступление 2016.xlsx.wncry.zip

Изменено пользователем Владимир Николаев
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicyScripts: Restriction <==== ATTENTION
    Tcpip\..\Interfaces\{08A54433-26C6-4008-BA9F-C13178B403DE}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
    2017-07-05 04:08 - 2017-07-05 04:08 - 00006959 _____ C:\Users\User\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\продавец\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Documents\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Меломед\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Бухгалтер\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Бухгалтер\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Артём\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Артём\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Админ\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\User\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT
    2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Classic .NET AppPool\Инструкция по расшифровке файлов WannaCry.TXT
    ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers04: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    Task: {B98A80A6-C77B-41A5-A89C-11C2FD1F1CC0} - System32\Tasks\{F7319D82-EAF6-4F35-9E07-CC39AF507456} => E:\run.exe
    Task: {E66BA349-ADBF-4487-96A1-465F8124C97C} - System32\Tasks\{91174AB3-DE99-4BCB-B7F4-4B2388462854} => E:\run.exe
    FirewallRules: [{EB653C0E-D960-4F40-9DF7-2EEBA001938C}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{8638DF54-5895-4076-A246-40E9148B55FA}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Инструкции по расшифровке будут позже.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте личные сообщения (здесь на форуме).

В завершение:

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

До этого:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Владимир Николаев

Спасибо. Тему можно удалить? 
Вс получилось, файл восстановил 

систему снес, ставлю ubuntu server... чтоб наверняка ))

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
    • fabbeg
      От fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
×
×
  • Создать...