HELP Шифровальщик Wanna Cry

[Sandr]

Всем здрасьте. Очень похожая проблема - вирус зашифровал сетевые диски и папки общего доступа. Основную информацию восстановили из резервной копии, но осталось несколько зашифрованных компьютеров, бекапы с которых не делались. Текст сообщения о шифровании и возможности расшифровки:

Как расшифровать файлы.TXT:

WannaCry

Добрый день.

Ваши файлы, документы, фото, базы данных и все остальное НЕ УДАЛЕНЫ.
Они зашифрованы WannaCry самым надежным шифрованием.
Восстановить файлы НЕВОЗМОЖНО без нашей помощи.
Будете пытаться восстановить файлы самостоятельно- потеряете файлы
НАВСЕГДА.

----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
(Это такой длинный e-mail адрес)

* сообщите Ваш ID и мы выключим произвольное удаление файлов
(если не сообщите Ваш ID идентификатор, то каждые 24 часа будет
удаляться по 24 файла. Если сообщите ID- мы выключим это)

* высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
Мы их расшифровываем, в доказательство возможности расшифровки.
также получаете инструкцию куда и сколько нужно заплатить.

2. оплачиваете и подтверждаете оплату.

3. после оплаты получаете программу ДЕШИФРАТОР. которой восстанавливаете ВСЕ ВАШИ ФАЙЛЫ.
----------------------------------------------------------

У Вас есть 72 часа на оплату.

Если не успеете за 72 часа оплатить, то цена расшифровки увеличивается в 2 раза.
Цена увеличивается в 2 раза каждые 72 часа.

Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 72 часов.
За подробными инструкциями обращайтесь e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
(Это такой длинный e-mail адрес)

* Если не будете терять время на попытки расшифровать, то сможете восстановить все файлы за час.
* Если будете пытаться сами расшифровать- можете потерять Ваши файлы НАВСЕГДА.
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования


------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin удобным способом:
https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)
https://ru.bitcoin.it/wiki/Приобретение_биткойнов(инструкция для новичков)

- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
- Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты,
в дружественной обстановке.
---------------------------------------------------------


Ваш Идентификатор:
1179356568732635199191396061042965181909400555933359229588120222866936989374268929818709487323415153
6129388005459971693000532900827425182351728986351393474446727495853284177148023879521162655550877057
4993815293057911991819436873781339020124210540576414208201700898730808435742272483323861346604299147
1844883431416888273402246361119483383569081492631991824201407695597650705955665606674363616793442827
0955073555709552418986109022740726680317275469831106223684053276977772890136871005359901050423821497
2003804184641077140869500681099422561566267370557254914549957346708981238582713162769930795252669627
879069729236878875

=========================================================

Hello.

Your files, documents, photo, databases and all the rest aren't REMOVED.
They are ciphered by WannaCry the most reliable enciphering.
It is impossible to restore files without our help.
You will try to restore files independent you will lose files
FOREVER.

----------------------------------------------------------
You will be able to restore files so:
1. to contact us by e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch
* report your ID and we will switch off any removal of files
(if don't report your ID identifier, then each 24 hours will be
to be removed on 24 files. If report to ID-we will switch off it)

* you send your ID identifier and 2 files, up to 1 MB in size everyone.
We decipher them, as proof of a possibility of interpretation.
also you receive the instruction where and how many it is necessary to pay.

2. you pay and confirm payment.

3. after payment you receive the DECODER program. which you restore ALL YOUR FILES.
----------------------------------------------------------

You have 72 hours on payment.

If you don't manage to pay in 72 hours, then the price of interpretation increases twice.
The price increases twice each 72 hours.

To restore files, without loss, and on the minimum tariff, you have to pay within 72 hours.
Address for detailed instructions e-mail: BM-2cX2s3Zoqw9JFc9QELpPPPmuKBGRqF7pL7@bitmessage.ch

* If you don't waste time for attempts to decipher, then you will be able to restore all files in 1 hour.
* If you try to decipher - you can FOREVER lose your files.
* Decoders of other users are incompatible with your data as at each user
unique key of enciphering

------------------ P.S. ----------------------------------
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info/ru/wallet/new
* Buy Bitcoin in the convenient way:
https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet, etc.)
https://ru.bitcoin.it/wiki/Priobreteniye_bitkoynov(the instruction for beginners)

- It doesn't make sense to complain of us and to arrange a hysterics.
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment,
in a friendly situation.
---------------------------------------------------------


Your Identifier
1179356568732635199191396061042965181909400555933359229588120222866936989374268929818709487323415153
6129388005459971693000532900827425182351728986351393474446727495853284177148023879521162655550877057
4993815293057911991819436873781339020124210540576414208201700898730808435742272483323861346604299147
1844883431416888273402246361119483383569081492631991824201407695597650705955665606674363616793442827
0955073555709552418986109022740726680317275469831106223684053276977772890136871005359901050423821497
2003804184641077140869500681099422561566267370557254914549957346708981238582713162769930795252669627
879069729236878875

 

 

В общем ситуация очень неприятная, хотелось бы восстановить потерянные данные. Помогите!!!

[Soft]

Сообщение от модератора Soft

Сообщение выделено в отдельную тему. Продолжайте лечение здесь.

«Порядок оформления запроса о помощи»

[Sandr]

Извиняюсь за задержку, выполняются требования.

[Sandr]

Выполнил проверку KVRT: угроз не обнаружено.

 

Dr. Web Cureit: ждал окончания проверки около 3-х часов, пришлось прерваться. 

 

Результат работы AutoLogger во вложении.

 

CollectionLog-2017.11.13-14.42.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Sandr]

Готово.

FRST_and_Addition.zip

[thyrex]

Поищите пару - шифрованный и нешифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению. Зашифрованный файл имеет чуть больший размер в сравнении с оригиналом.

[Sandr]

Есть такая пара, правда с другого ПК, но симптомы заражения, включая текст по расшифровке, абсолютно одинаковые.

Before_and_After.zip

[thyrex]

Проверьте ЛС

[Sandr]

Спасибо огромное, пока все расшифровывается без проблем!!!

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Sandr]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 14.11.2017 17:37:05

Path starting: C:\Users\Sasha\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Sasha

VersionXML: 4.73s-27.10.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)

Дата установки ОС: 03.02.2015 18:18:38

Статус лицензии: Windows® 7, Professional edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [105.5 Гб] Занято: [64.3 Гб] Свободно: [41.2 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17207 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 3)

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1014

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Endpoint Security 10 для Windows v.10.2.1.23

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.18 v.7.18.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 13 ActiveX v.13.0.0.182 Внимание! Скачать обновления

Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

Adobe Reader XI  MUI v.11.0.00 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.62.0.3202.89 [+]

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Endpoint Security Service (AVP) - Служба остановлена

Защитник Windows (WinDefend) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

 

 

[thyrex]

У Вас огромный фронт работ по установке обновлений. Приступайте.