HELP Шифровальщик Wanna Cry

[grraf]

Доброго времени суток! Помогите кто чем. 
 
Шифровальщик шифрует документы только на сетевых разделах, на сеевых дисках. на машину не лезет. Отключили сеть, шифрование закончилось.  
 
Текст предупреждения:

WannaCry
 
Добрый день.
 
Ваши файлы, документы, фото, базы данных и все остальное НЕ УДАЛЕНЫ. 
Они зашифрованы WannaCry самым надежным шифрованием.
Восстановить файлы НЕВОЗМОЖНО без нашей помощи.
Будете  пытаться  восстановить  файлы  самостоятельно- потеряете файлы
НАВСЕГДА.
 
----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
(Это такой длинный e-mail адрес)
 
 * сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
 
 * высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию куда и сколько нужно заплатить.
 
2. оплачиваете и подтверждаете оплату.
 
3. после оплаты получаете программу ДЕШИФРАТОР. которой восстанавливаете ВСЕ ВАШИ ФАЙЛЫ.
----------------------------------------------------------
 
У Вас есть 72 часа на оплату.
 
Если не успеете за 72 часа оплатить, то цена расшифровки увеличивается в 2 раза.
Цена увеличивается в 2 раза каждые 72 часа.
 
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 72 часов.
За подробными инструкциями обращайтесь e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
(Это такой длинный e-mail адрес)
 
 * Если не будете терять время на попытки расшифровать, то сможете восстановить все файлы за час.
 * Если будете пытаться сами расшифровать- можете потерять Ваши файлы НАВСЕГДА.
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 
 
------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)
   https://ru.bitcoin.it/wiki/Приобретение_биткойнов(инструкция для новичков)
 
 - Не имеет смысла жаловаться на нас и устраивать истерику. 
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
 
 
Ваш Идентификатор:
2266102910846848338738304658141456007710495263956036513093219118665344860656196399219195786840514160
1888920671043840358987407574384849958411203110302464407446387534566505186846176090777320226410026862
5186837510644975782479530185684616091173797366334036795585233494690822331515904171317965255594092163
0344370724861125873282968720702726066902986170037900714465331276305688413125644622512411460318070531
4452862889599040824207455013019761548757177646381091825421545124847820854851880647310221686648133289
0685184694332643240485957319576433040624250408431737205740572538159725349312940015980710033980425988
595397302193680830
 
=========================================================
 
Hello.
 
Your files, documents, photo, databases and all the rest aren't REMOVED. 
They are ciphered by WannaCry the most reliable enciphering.
It is impossible to restore files without our help.
You will try to restore files independent you will lose files
FOREVER.
 
----------------------------------------------------------
You will be able to restore files so:
1. to contact us by e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
* report your ID and we will switch off any removal of files 
  (if don't report your ID identifier, then each 24 hours will be
  to be removed on 24 files. If report to ID-we will switch off it)
 
* you send your ID identifier and 2 files, up to 1 MB in size everyone.
  We decipher them, as proof of a possibility of interpretation.
  also you receive the instruction where and how many it is necessary to pay.
 
2. you pay and confirm payment.
 
3. after payment you receive the DECODER program. which you restore ALL YOUR FILES.
----------------------------------------------------------
 
You have 72 hours on payment.
 
If you don't manage to pay in 72 hours, then the price of interpretation increases twice.
The price increases twice each 72 hours.
 
To restore files, without loss, and on the minimum tariff, you have to pay within 72 hours.
Address for detailed instructions e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
 
 * If you don't waste time for attempts to decipher, then you will be able to restore all files in 1 hour.
 * If you try to decipher - you can FOREVER lose your files.
 * Decoders of other users are incompatible with your data as at each user
unique key of enciphering
 
------------------ P.S. ----------------------------------
If you have no bitcoins
 * Create Bitcoin purse: https://blockchain.info/ru/wallet/new
 * Buy Bitcoin in the convenient way:
   https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet, etc.)
   https://ru.bitcoin.it/wiki/Priobreteniye_bitkoynov(the instruction for beginners)
 
 - It doesn't make sense to complain of us and to arrange a hysterics. 
 - Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
   Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
 - Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
   in a friendly situation.
---------------------------------------------------------
 
 
Your Identifier
2266102910846848338738304658141456007710495263956036513093219118665344860656196399219195786840514160
1888920671043840358987407574384849958411203110302464407446387534566505186846176090777320226410026862
5186837510644975782479530185684616091173797366334036795585233494690822331515904171317965255594092163
0344370724861125873282968720702726066902986170037900714465331276305688413125644622512411460318070531
4452862889599040824207455013019761548757177646381091825421545124847820854851880647310221686648133289
0685184694332643240485957319576433040624250408431737205740572538159725349312940015980710033980425988
595397302193680830

 
Обновления от мелкомягких стоит.
 
связи с этим 3 вопроса: 
1) как избавиться?
2) как вылечиться?
3) Можно ли дешифровать?
 
Вкладываю зашифрованный файлик

Как расшифровать файлы.TXT

[thyrex]

Порядок оформления запроса о помощи

[grraf]

Прогнал AVZ вот что получилось

CollectionLog-2017.10.11-18.21.zip

[thyrex]

Поищите пару - незашифрованный и зашифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[grraf]

Вот что получил

Desktop.7z

[thyrex]

Поищите пару - незашифрованный и зашифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению

Проигнорировали.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-2273212349-301410795-51687229-1212\...\Run: [{FE3B9F6C-2487-E2B2-99EA-33B0141A6952}] => C:\Users\ikm\Как расшифровать файлы.TXT [6547 2017-10-11] ()
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\user\Как расшифровать файлы.TXT
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\user\Desktop\Как расшифровать файлы.TXT
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\Public\Desktop\Как расшифровать файлы.TXT
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\Default\Как расшифровать файлы.TXT
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\admin\Как расшифровать файлы.TXT
2017-10-11 05:40 - 2017-10-11 05:40 - 000006547 _____ C:\Users\admin\Desktop\Как расшифровать файлы.TXT
2017-10-11 05:22 - 2017-10-11 08:18 - 000006547 _____ C:\Users\ikm\Как расшифровать файлы.TXT
2017-10-11 05:22 - 2017-10-11 08:18 - 000006547 _____ C:\Users\ikm\Desktop\Как расшифровать файлы.TXT
2017-10-11 05:22 - 2017-10-11 05:22 - 000006547 _____ C:\Users\ikm\Downloads\Как расшифровать файлы.TXT
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[grraf]

• Вот что получил

Fixlog.txt

[Sandor]

Напоминаем третий раз (!):

Поищите пару - незашифрованный и зашифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению.

[grraf]

Вот пара 

на расшифровку.7z

[Sandor]

Проверьте личные сообщения.

[grraf]

Огромное спасибо - вы спасли!!!

[Sandor]

В завершение:

1.

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[grraf]

Выполнил, Вопрос такой, шифрование остановлено дескриптор расшифровывает, как найти заразу, антивирыни один не нашел

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.51.0.2704.84 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

как найти заразу

После шифрования вредонос само-уничтожился.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО