Перейти к содержанию

Файлы зашифрованы WannaCry

JediMan
 Поделиться

Рекомендуемые сообщения

  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

  • JediMan

    20

  • mike 1

    10

  • thyrex

    6

  • Mark D. Pearlstone

    1

Топ авторов темы

Популярные посты

thyrex
thyrex

он во мне сомневается, потому и ждите, пока он ответит.

Изображения в теме

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}

Удаляйте его. Не справляется он с руткитом.

 

U5 vcIzgM3k;  <==== ATTENTION: Locked Service

 

Установите пробную версию KIS. После установки антивируса сделайте полную проверку антивирусом. 

 
После лечения сделайте новые логи. 
 
P.S. Последующие ответы будут значительно реже, так как я в отпуске и уезжаю без ноутбука в другой город.  
Изменено пользователем mike 1
JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

50% важных файлов я восстановил с помощью утилиты Disk Digger. Но буду стараться восстановить всё с вами :)

mike 1

mike 1

Опубликовано
Опубликовано

Если это настоящий WannaCry, то расшифровки нет. 

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Проверка идёт очень медленно. Уже 15 мин сижу и проверилось только 704 файла. Счётчик медленно растёт. Когда Защитник проверял, то было 54 000 файлов где-то.

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Сканирование длилось 3+ часа.


Пожалуйста, ответьте! Любой модератор/хелпер/консультант! Мне послезавтра сдавать работу, которая зашифрована!

Addition.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки не будет. Это оригинальный WannaCry, если судить по имени файла с сообщением вымогателей.

 

Будет только чистка мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\setupsk
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\setupsk_upd
2017-06-21 18:46 - 2017-06-21 18:46 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\Smart Application Controller
2017-06-21 18:46 - 2017-06-21 18:46 - 000000001 _____ () C:\Users\dimap\AppData\Roaming\Uniblue
2017-06-21 18:48 - 2017-06-21 18:48 - 000000001 _____ () C:\Users\dimap\AppData\Local\ifgker
2017-06-21 18:45 - 2017-06-21 18:45 - 000000001 _____ () C:\Users\dimap\AppData\Local\NetBoxLogs
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jmiiohiaajjffehaafddaigaacdjmmgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kapkeeoajacndgpgkndfecndmclcnffb] - hxxps://clients2.google.com/service/update2/crx
MSCONFIG\Services: mweshield => 2
MSCONFIG\Services: mweshieldup => 2
HKU\S-1-5-21-1673179456-2351431260-1520324229-1001\...\StartupApproved\Run: => "setupsk_upd"
HKU\S-1-5-21-1673179456-2351431260-1520324229-1001\...\StartupApproved\Run: => "setupsk"
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File

Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Я лучше уж тогда полностью восстановлю заводские настройки. Терять теперь нечего, а вот производительность хоть немного повысит.


При подключении флешки на ней ничего не случится?

thyrex

thyrex

Опубликовано
Опубликовано

Активного вируса в логах нет

JediMan

JediMan

Опубликовано
  • Автор
Опубликовано

Большое спасибо вам и особенно mike 1! Желаю удачи в работе :)

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Расшифровки не будет. Это оригинальный WannaCry, если судить по имени файла с сообщением вымогателей.

 

А ты уверен, что это не какая нибудь модификация HiddenTear? Пришлите зашифрованный файл в архиве. Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • StVladislav
      wncry восстановление
      Автор StVladislav
      Принесли ноут, из объяснения  "лежал несколько лет, включили там вирус" при запуске увидел окно wana decrypt0r 2.0.
      Что делал:
      - В командной строке от имени администратора "netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
      - Убрал галку в автозагрузке.
      - В безопасном режиме удалил скрытую папку в programdata.
      - Почистил папку TEMP.
      - Просканировал с помощью cureit, нашел два файлика и удалил.
      - Просканировал RansomRecovery, не помогло.
      - ShadowExplorer файлов восстановления нет.
       
      Итого имеем множество зашифрованных файлов wncry.
       
      CollectionLog-2018.11.03-15.27.zip
    • dimaflash
      файлы .wncry
      Автор dimaflash
      Здравствуйте. Больше года назад, в мае попал под атаку вируса WannaCry. Вирус поел все мои файлы и папки на рабочем столе. После этого я пропатчил операционку(лицензионная вин7 про х64), расшифровку с заражёнными файлами решил отложить на потом.
       
      Собственно, прошу помощи с расшифровкой. Вирус атаковал рабочий стол и на нём же остановил свою деятельность. С тех пор никаким атакам комп более не подвергался, винда и антивирь регулярно обновляются. 
       
      CollectionLog-2018.11.10-22.01.zip
    • set2010
      Шифровальщик *.wncry
      Автор set2010
      Добрый день, та же проблема... помогите!!! пожалуйста!!! 

      Архив с логами
       
       

      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=57641 files.zip
    • edikn
      Зашифрованные файлы .wncry
      Автор edikn
      Добрый день! В прошлом году вирус зашифровал файлы с расширением .wncry. Посмотрите пожалуйста может сейчас уже возможно что-нибудь сделать. Спасибо.
      CollectionLog-2018.02.28-15.49.zip
    • john74ru
      Зашифрованы файлы с расширением .jpg, mpeg, mov.
      Автор john74ru
      Здравствуйте. 
      Помогите расшифровать файлы. Зашифрованы оказались файлы с расширением .jpg, mpeg, mov. 
      Пример двух зашифрованных файлов в архиве. Проверял Kaspersky virus removal tool, вирус удалился, но теперь файлы хотелось расшифровать.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы files.zip
×
×
  • Создать...