Перейти к содержанию

Файлы зашифрованы WannaCry

JediMan
 Поделиться

Рекомендуемые сообщения

  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

  • JediMan

    20

  • mike 1

    10

  • thyrex

    6

  • Mark D. Pearlstone

    1

Топ авторов темы

Популярные посты

thyrex
thyrex

он во мне сомневается, потому и ждите, пока он ответит.

Изображения в теме

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}

Удаляйте его. Не справляется он с руткитом.

 

U5 vcIzgM3k;  <==== ATTENTION: Locked Service

 

Установите пробную версию KIS. После установки антивируса сделайте полную проверку антивирусом. 

 
После лечения сделайте новые логи. 
 
P.S. Последующие ответы будут значительно реже, так как я в отпуске и уезжаю без ноутбука в другой город.  
Изменено пользователем mike 1
JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

50% важных файлов я восстановил с помощью утилиты Disk Digger. Но буду стараться восстановить всё с вами :)

mike 1

mike 1

Опубликовано
Опубликовано

Если это настоящий WannaCry, то расшифровки нет. 

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Проверка идёт очень медленно. Уже 15 мин сижу и проверилось только 704 файла. Счётчик медленно растёт. Когда Защитник проверял, то было 54 000 файлов где-то.

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Сканирование длилось 3+ часа.


Пожалуйста, ответьте! Любой модератор/хелпер/консультант! Мне послезавтра сдавать работу, которая зашифрована!

Addition.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки не будет. Это оригинальный WannaCry, если судить по имени файла с сообщением вымогателей.

 

Будет только чистка мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\setupsk
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\setupsk_upd
2017-06-21 18:46 - 2017-06-21 18:46 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\Smart Application Controller
2017-06-21 18:46 - 2017-06-21 18:46 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\Uniblue
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Local\ifgker
2017-06-21 18:45 - 2017-06-21 18:45 - 000000001 _____ () C:\Users\dimap\AppData\Local\NetBoxLogs
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jmiiohiaajjffehaafddaigaacdjmmgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kapkeeoajacndgpgkndfecndmclcnffb] - hxxps://clients2.google.com/service/update2/crx
MSCONFIG\Services: mweshield => 2
MSCONFIG\Services: mweshieldup => 2
HKU\S-1-5-21-1673179456-2351431260-1520324229-1001\...\StartupApproved\Run: => "setupsk_upd"
HKU\S-1-5-21-1673179456-2351431260-1520324229-1001\...\StartupApproved\Run: => "setupsk"
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File

Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Я лучше уж тогда полностью восстановлю заводские настройки. Терять теперь нечего, а вот производительность хоть немного повысит.


При подключении флешки на ней ничего не случится?

thyrex

thyrex

Опубликовано
Опубликовано

Активного вируса в логах нет

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Большое спасибо вам и особенно mike 1! Желаю удачи в работе :)

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Расшифровки не будет. Это оригинальный WannaCry, если судить по имени файла с сообщением вымогателей.

 

А ты уверен, что это не какая нибудь модификация HiddenTear? Пришлите зашифрованный файл в архиве. Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Amidamarry
      Вирус Wanna Cry
      Автор Amidamarry
      Вечер добрый. В пятницу 12 мая, вечером ничего не качая, не заходил ни на какие сайты, ноутбук начал жёстко виснуть, пришлось его выключить. При включении он зависал на добро пожаловать (Windows 7), пришлось делать откат на более позднее число, что помогло, но я увидел что фотографии, архивированные файлы и текстовые файлы получили расширение .wncry. WanaDecryptor и тому подобное не открывал, сообщение не выскакивало о том, что нужно платить деньги. К сожалению время только сегодня появилось начать решать проблему. Сразу же поставил обновление защиты MS17-010. Проверил систему бесплатным антивирусом Kaspersky Virus Removal Tool. Он нашёл вирусы, после нажал продолжить, результаты выложил в скриншотах. После сделал сбор логов, также выкладываю результаты. Вопрос только возник по этому пункты, не нашёл его:
      После запуска RSIT выберите в выпадающем списке проверку за последние 3 месяца, после чего нажмите кнопку "Далее" ("Continue"). При первом запуске автоматического сборщика логов также может выйти запрос о принятии лицензионного соглашения HiJackThis; нажмите "I Accept" (принять).

      CollectionLog-2017.05.14-21.51.zip
    • Людмила Скрипник
      Файлы зашифрованы WNCRY
      Автор Людмила Скрипник
      Проверка была проведена AVG, после повторной проверки вирусов не было обнаружено, очень нужно расшифровать файлы.
      Сделала отчеты с помощью Farbar Recovery Scan Tool
      Отчеты.rar
      Документы.rar
    • niko74
      @WNCRY@
      Автор niko74
      ДД! Просьба вмешаться!
      Подорваны практически все файлы exe, png (jpeg,gif,...), MS Office..
      CollectionLog-2017.05.15-19.23.zip
    • NikZn
      Шифровальщик WannaDecryptor
      Автор NikZn
      Вчера вечером обнаружил на своем компьютере вирус-шифровальщик WannaDecryptor, который изменил расширение многих файлов на .WNCRY. Попытка расшифровать их с помощью утилиты RectorDecryptor успеха не принесла. Программа обнаружила 16 656 пораженных файлов. Согласно инструкциям на этом форуме, я выполнил сбор логов вируса.
      CollectionLog-2017.05.13-06.50.zip
    • Андрей Жученко
      WnCry
      Автор Андрей Жученко
      После атаки WnCry полностью пробежался антивиром. Но в некоторых (в большинстве) папках остались ее exe-файлы. Обновления установил, порт 445 закрыл. Спасибо
      CollectionLog-2017.05.14-11.27.zip
×
×
  • Создать...