Шифровальщик *.wncry

[thrsnspn]

Добрый день!

Поймали шифровальщик (*.wncry), оставляет следующее послание:

Инструкции по восстановлению.TXT:

Добрый день.

 

Ваши файлы, документы, фото, базы данных и все остальное НЕ УДАЛЕНЫ. 

Они зашифрованы WannaCry самым надежным шифрованием.

Восстановить файлы НЕВОЗМОЖНО без нашей помощи.

Будете  пытаться  восстановить  файлы  самостоятельно- потеряете файлы

НАВСЕГДА.

 

----------------------------------------------------------

Востановить файлы Вы сможете так:

1. связаться с нами по e-mail: BM-2cXBpMcYpqXRSDHhocN9Se8YcqMvKtvFR3@bitmessage.ch

(Это такой длинный e-mail адрес)

 

 * сообщите Ваш ID и мы выключим произвольное удаление файлов 

   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет

   удаляться по 24 файла. Если сообщите ID- мы выключим это)

 

 * высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.

   Мы их расшифровываем, в доказательство возможности расшифровки.

   также получаете инструкцию куда и сколько нужно заплатить.

 

2. оплачиваете и подтверждаете оплату.

 

3. после оплаты получаете программу ДЕШИФРАТОР. которой восстанавливаете ВСЕ ВАШИ ФАЙЛЫ.

----------------------------------------------------------

 

У Вас есть 72 часа на оплату.

 

Если не успеете за 72 часа оплатить, то цена расшифровки увеличивается в 2 раза.

Цена увеличивается в 2 раза каждые 72 часа.

 

Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 72 часов.

За подробными инструкциями обращайтесь e-mail: BM-2cXBpMcYpqXRSDHhocN9Se8YcqMvKtvFR3@bitmessage.ch

(Это такой длинный e-mail адрес)

 

 * Если не будете терять время на попытки расшифровать, то сможете восстановить все файлы за час.

 * Если будете пытаться сами расшифровать- можете потерять Ваши файлы НАВСЕГДА.

 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

 

 

------------------ P.S. ---------------------------------

Если у Вас нет биткойнов

 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new

 * Приобретите криптовалюту Bitcoin удобным способом:

   https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)

   https://ru.bitcoin.it/wiki/Приобретение_биткойнов(инструкция для новичков)

 

 - Не имеет смысла жаловаться на нас и устраивать истерику. 

 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.

   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.

 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 

   в дружественной обстановке.

---------------------------------------------------------

 

 

Ваш Идентификатор:

3116132754742970707436722970771182148624930680130461744268973054200094154053444258495541641262438782

0817466678089420957005368075886578584144953500272079274096301919666464699484283610770398911578834731

0824196688116585466943086881418330612631989184781940687613014703544634220319759995903629498664993298

7998824567657579302179839337251199204151441209683893394215834621319570388121906869644478709217817751

8415894114398005420073269076787631623510980968281219214664174581930007349140325886414225627425804740

1086243171892302820468564048858667700025313536024252984727116215265129319468850626642810811473882317

254558844099979474

 

=========================================================

 

Hello.

 

Your files, documents, photo, databases and all the rest aren't REMOVED. 

They are ciphered by WannaCry the most reliable enciphering.

It is impossible to restore files without our help.

You will try to restore files independent you will lose files

FOREVER.

 

----------------------------------------------------------

You will be able to restore files so:

1. to contact us by e-mail: BM-2cXBpMcYpqXRSDHhocN9Se8YcqMvKtvFR3@bitmessage.ch

* report your ID and we will switch off any removal of files 

  (if don't report your ID identifier, then each 24 hours will be

  to be removed on 24 files. If report to ID-we will switch off it)

 

* you send your ID identifier and 2 files, up to 1 MB in size everyone.

  We decipher them, as proof of a possibility of interpretation.

  also you receive the instruction where and how many it is necessary to pay.

 

2. you pay and confirm payment.

 

3. after payment you receive the DECODER program. which you restore ALL YOUR FILES.

----------------------------------------------------------

 

You have 72 hours on payment.

 

If you don't manage to pay in 72 hours, then the price of interpretation increases twice.

The price increases twice each 72 hours.

 

To restore files, without loss, and on the minimum tariff, you have to pay within 72 hours.

Address for detailed instructions e-mail: BM-2cXBpMcYpqXRSDHhocN9Se8YcqMvKtvFR3@bitmessage.ch

 

 * If you don't waste time for attempts to decipher, then you will be able to restore all files in 1 hour.

 * If you try to decipher - you can FOREVER lose your files.

 * Decoders of other users are incompatible with your data as at each user

unique key of enciphering

 

------------------ P.S. ----------------------------------

If you have no bitcoins

 * Create Bitcoin purse: https://blockchain.info/ru/wallet/new

 * Buy Bitcoin in the convenient way:

   https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet, etc.)

   https://ru.bitcoin.it/wiki/Priobreteniye_bitkoynov(the instruction for beginners)

 

 - It doesn't make sense to complain of us and to arrange a hysterics. 

 - Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.

   Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.

 - Just contact with us, we will stipulate conditions of interpretation of files and available payment, 

   in a friendly situation.

---------------------------------------------------------

 

 

Your Identifier

3116132754742970707436722970771182148624930680130461744268973054200094154053444258495541641262438782

0817466678089420957005368075886578584144953500272079274096301919666464699484283610770398911578834731

0824196688116585466943086881418330612631989184781940687613014703544634220319759995903629498664993298

7998824567657579302179839337251199204151441209683893394215834621319570388121906869644478709217817751

8415894114398005420073269076787631623510980968281219214664174581930007349140325886414225627425804740

1086243171892302820468564048858667700025313536024252984727116215265129319468850626642810811473882317

254558844099979474

Посмотрите пожалуйста возможно ли что-нибудь сделать. Спасибо.

CollectionLog-2017.11.14-22.14.zip

[thyrex]

Поищите пару - шифрованный и нешифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению. Зашифрованный файл имеет чуть больший размер в сравнении с оригиналом.

 

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[thrsnspn]

Сделал.

FRST.zip

2 файла.zip

[thyrex]

Пароль от RDP смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-11-13 02:13 - 2017-11-13 02:13 - 000006535 _____ C:\Users\Администратор\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:13 - 000006535 _____ C:\Users\Администратор\Desktop\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\ug\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\SQLAdmin\Downloads\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\SQLAdmin\Documents\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\SQLAdmin\Desktop\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
2017-11-13 02:12 - 2017-11-13 02:12 - 000006535 _____ C:\Users\Public\Desktop\Инструкции по восстановлению.TXT
2017-11-13 02:08 - 2017-11-13 02:08 - 000006535 _____ C:\Users\monster\Инструкции по восстановлению.TXT
2017-11-13 02:08 - 2017-11-13 02:08 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что перезагрузку компьютера нужно будет выполнить вручную.

[thrsnspn]

Пароль сменил.

Fixlog.txt

Изменено 14 ноября, 2017 пользователем thrsnspn

[thyrex]

Проверьте ЛС

[thrsnspn]

Проверьте ЛС

Получилось, спасибо большое. Только с одной базой MS Access или не получилось, или она повреждена.

[thyrex]

Прикрепите ее в архиве к следующему сообщению.

 

+ Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[thrsnspn]

Извиняюсь за задержку.
Вот:
SecurityCheck.txt:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 15.11.2017 20:44:36

Path starting: C:\Users\Администратор\AppData\Local\Temp\3\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Boss

VersionXML: 4.75is-13.11.2017

___________________________________________________________________________

 

Windows 2008(6.0.6002) Service Pack 2 (x86) ServerStandard Lang: Russian(0419)

Дата установки ОС: 12.01.2012 12:36:26

Статус лицензии: Windows Server®, ServerStandard edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [293.8 Гб] Занято: [260.3 Гб] Свободно: [33.5 Гб]

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.04 v.16.04

Архиватор WinRAR

Wireshark 1.12.4 (32-bit) v.1.12.4 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 47.0.2 (x86 ru) v.47.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Mozilla Firefox\firefox.exe v.47.0.2.6148

------------------ [ AntivirusFirewallProcessServices ] -------------------

Visual Studio 2005 Remote Debugger (msvsmon80) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

 

db1.mdb.wncry.zip

Изменено 15 ноября, 2017 пользователем thrsnspn

[thyrex]

Обновите указанное + проверьте ЛС

[thrsnspn]

Обновите указанное + проверьте ЛС

Спасибо Вам большое человеческое, не знаю чтобы делали без вашей помощи)