Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус шифрующий файлы WannaCash - cryptlocker@tutanota.com

Serfed
 Поделиться

Рекомендуемые сообщения

Serfed Новичок

Serfed

Опубликовано
Опубликовано

Поймал вирус шифрующий файлы. Один из онлайн ресурсов сказал, что это WannaCash.

 

На рабочем столе появился файл "как расшифровать файлы.txt" c содержанием:

*

Все файлы с расширениями:  .doc  .docx  .xls  .xlsx  .xlst  .ppt  .pptx  .rtf  .pot  .pages  .indd  .odt  .ods  .pdf  .zip.rar  .7z  .jpg  .png  .mp4  .mov  .avi  .mpeg .flv  .psd  .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com
*
Прошу помочь с расшифровкой файлов.
 
P.S. Согласно правилам запроса о помощи прикладываю файл с логами.

CollectionLog-2019.01.23-18.30.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

MediaGet удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2018-11-18 15:22 - 2019-01-02 13:47 - 000000000 ____D C:\Users\Надя\AppData\Roaming\YoutubeDownloader
2018-11-18 15:23 - 2019-01-02 13:48 - 000000000 ____D C:\Program Files (x86)\ybgiEdpTCIE
2018-11-18 15:23 - 2018-11-18 17:31 - 000000000 ____D C:\Program Files (x86)\AKNEPKicULUn
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\WSFaLpDmvunlC
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\RwqeCNFCU
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Users\Все пользователи\WnvfCrXaEQonSoVB
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\ufyAvottbywU2
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\qDoSnZcADqdmFTmkyuR
OPR Extension: (YoutubeDownloader) - C:\Users\Надя\AppData\Roaming\Opera Software\Opera Stable\Extensions\poifboaadcogleeibokkcinojokfldem [2018-11-18]
CHR HKU\S-1-5-21-4275219844-1156231877-3063794121-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
BHO: YoutubeDownloader -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
BHO-x32: No Name -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Folder: C:\Users\Надя\AppData\Roaming\gnupg
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В общем нужен сам шифратор. Без него сказать что-то определенное о возможности расшифровки не представляется возможным.

 

Вообще то, что обращаетесь спустя 3 недели после шифрования, да еще и перепробовав массу дешифраторов, уменьшает шанс его найти.

Ссылка на комментарий
Поделиться на другие сайты
Serfed Новичок

Serfed

Опубликовано
  • Автор
Опубликовано (изменено)

И что делать? Где и как его искать?

 

P.S. В любом случае огромнейшее вам спасибо за ваши труды. Я видел вы много кому помогли. Пока искал дешифраторы почти все ниточки приводили к вам.

Изменено пользователем Serfed
Ссылка на комментарий
Поделиться на другие сайты
Serfed Новичок

Serfed

Опубликовано
  • Автор
Опубликовано

 

И что делать? Где и как его искать?

Без понятия. Наверняка был вход по RDP

 

 

 

А вы не могли бы дать какие-нибудь рекомендации что нужно сделать чтобы такое не повторилось? Нужно ли сносить систему, все чистить и т.п. чтобы это не повторилось?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

Ссылка на комментарий
Поделиться на другие сайты
Serfed Новичок

Serfed

Опубликовано
  • Автор
Опубликовано

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

Спасибо вам большое.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • Сергей N
      Вирус спал 10 лет. И вот сегодня зашифровал часть папок и файлов
      Автор Сергей N
      Можно ли тут что-то сделать? Файлы и папки не копируются и не пересылаются

    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...