Перейти к содержанию

Вирус шифрующий файлы WannaCash - cryptlocker@tutanota.com

Serfed
 Поделиться

Рекомендуемые сообщения

Serfed

Serfed

Опубликовано
Опубликовано

Поймал вирус шифрующий файлы. Один из онлайн ресурсов сказал, что это WannaCash.

 

На рабочем столе появился файл "как расшифровать файлы.txt" c содержанием:

*

Все файлы с расширениями:  .doc  .docx  .xls  .xlsx  .xlst  .ppt  .pptx  .rtf  .pot  .pages  .indd  .odt  .ods  .pdf  .zip.rar  .7z  .jpg  .png  .mp4  .mov  .avi  .mpeg .flv  .psd  .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com
*
Прошу помочь с расшифровкой файлов.
 
P.S. Согласно правилам запроса о помощи прикладываю файл с логами.

CollectionLog-2019.01.23-18.30.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

MediaGet удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2018-11-18 15:22 - 2019-01-02 13:47 - 000000000 ____D C:\Users\Надя\AppData\Roaming\YoutubeDownloader
2018-11-18 15:23 - 2019-01-02 13:48 - 000000000 ____D C:\Program Files (x86)\ybgiEdpTCIE
2018-11-18 15:23 - 2018-11-18 17:31 - 000000000 ____D C:\Program Files (x86)\AKNEPKicULUn
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\WSFaLpDmvunlC
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\RwqeCNFCU
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Users\Все пользователи\WnvfCrXaEQonSoVB
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\ufyAvottbywU2
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\qDoSnZcADqdmFTmkyuR
OPR Extension: (YoutubeDownloader) - C:\Users\Надя\AppData\Roaming\Opera Software\Opera Stable\Extensions\poifboaadcogleeibokkcinojokfldem [2018-11-18]
CHR HKU\S-1-5-21-4275219844-1156231877-3063794121-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
BHO: YoutubeDownloader -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
BHO-x32: No Name -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Folder: C:\Users\Надя\AppData\Roaming\gnupg
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

В общем нужен сам шифратор. Без него сказать что-то определенное о возможности расшифровки не представляется возможным.

 

Вообще то, что обращаетесь спустя 3 недели после шифрования, да еще и перепробовав массу дешифраторов, уменьшает шанс его найти.

Serfed

Serfed

Опубликовано
  • Автор
Опубликовано (изменено)

И что делать? Где и как его искать?

 

P.S. В любом случае огромнейшее вам спасибо за ваши труды. Я видел вы много кому помогли. Пока искал дешифраторы почти все ниточки приводили к вам.

Изменено пользователем Serfed
thyrex

thyrex

Опубликовано
Опубликовано

И что делать? Где и как его искать?

Без понятия. Наверняка был вход по RDP
Serfed

Serfed

Опубликовано
  • Автор
Опубликовано

 

И что делать? Где и как его искать?

Без понятия. Наверняка был вход по RDP

 

 

 

А вы не могли бы дать какие-нибудь рекомендации что нужно сделать чтобы такое не повторилось? Нужно ли сносить систему, все чистить и т.п. чтобы это не повторилось?

thyrex

thyrex

Опубликовано
Опубликовано

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

Serfed

Serfed

Опубликовано
  • Автор
Опубликовано

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

Спасибо вам большое.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Defa1t
      ШИФРУЕТ ФАЙЛЫ 9F2B
      Автор Defa1t
      Обратился коллега с зашифрованными файлами 9F2B, при открытии файлов через блокнот открывается лист с вымогателем
      Addition.txt FRST.txt Файлы 9F2B.zip
    • DISPAWN
      ШИФРУЕТ ФАЙЛЫ 9F2B
      Автор DISPAWN
      В АРХИВЕ ПРИМЕР ,ЧТО ДЕЛАТЬ?
      Release.txt.rar
       
      Сообщение от модератора thyrex Перенесено в нужный раздел
    • Vlad21
      Вирус-шифровальщик @tutanota.com
      Автор Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • gleb.botov
      Подскажите пожалуйста, что за новый шифровальщик - шифрует файлы и добавляет расширение .NEEDTOPAYTOMYHORSE
      Автор gleb.botov
      Подскажите пожалуйста, что за новый шифровальщик - шифрует файлы и добавляет расширение .NEEDTOPAYTOMYHORSE
      зашифровал почти все на диске "С", папки с особыми названиями (!_хххххх) не тронул.
      Ни один расшифровщик с сайта не смог помочь.
      Помогите пожалуйста!
      Cпасибо
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...