Вирус шифрующий файлы WannaCash - cryptlocker@tutanota.com

[Serfed]

Поймал вирус шифрующий файлы. Один из онлайн ресурсов сказал, что это WannaCash.

 

На рабочем столе появился файл "как расшифровать файлы.txt" c содержанием:

*

Все файлы с расширениями:  .doc  .docx  .xls  .xlsx  .xlst  .ppt  .pptx  .rtf  .pot  .pages  .indd  .odt  .ods  .pdf  .zip.rar  .7z  .jpg  .png  .mp4  .mov  .avi  .mpeg .flv  .psd  .psb были зашифрованы

Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы

Свяжитесь с нами cryptlocker@tutanota.com

*

Прошу помочь с расшифровкой файлов.

 

P.S. Согласно правилам запроса о помощи прикладываю файл с логами.

CollectionLog-2019.01.23-18.30.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Serfed]

Файл Farbar

FRST and Addition.rar

[thyrex]

MediaGet удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2018-11-18 15:22 - 2019-01-02 13:47 - 000000000 ____D C:\Users\Надя\AppData\Roaming\YoutubeDownloader
2018-11-18 15:23 - 2019-01-02 13:48 - 000000000 ____D C:\Program Files (x86)\ybgiEdpTCIE
2018-11-18 15:23 - 2018-11-18 17:31 - 000000000 ____D C:\Program Files (x86)\AKNEPKicULUn
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\WSFaLpDmvunlC
2018-11-18 15:23 - 2018-11-18 15:29 - 000000000 ____D C:\Program Files (x86)\RwqeCNFCU
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Users\Все пользователи\WnvfCrXaEQonSoVB
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\ufyAvottbywU2
2018-11-18 15:23 - 2018-11-18 15:28 - 000000000 ____D C:\Program Files (x86)\qDoSnZcADqdmFTmkyuR
OPR Extension: (YoutubeDownloader) - C:\Users\Надя\AppData\Roaming\Opera Software\Opera Stable\Extensions\poifboaadcogleeibokkcinojokfldem [2018-11-18]
CHR HKU\S-1-5-21-4275219844-1156231877-3063794121-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
BHO: YoutubeDownloader -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
BHO-x32: No Name -> {D3A387F9-837D-4707-92DC-E9B1A83D401C} -> No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Folder: C:\Users\Надя\AppData\Roaming\gnupg
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Serfed]

Вот 

Fixlog.txt

[thyrex]

В общем нужен сам шифратор. Без него сказать что-то определенное о возможности расшифровки не представляется возможным.

 

Вообще то, что обращаетесь спустя 3 недели после шифрования, да еще и перепробовав массу дешифраторов, уменьшает шанс его найти.

[Serfed]

И что делать? Где и как его искать?

 

P.S. В любом случае огромнейшее вам спасибо за ваши труды. Я видел вы много кому помогли. Пока искал дешифраторы почти все ниточки приводили к вам.

Изменено 23 января, 2019 пользователем Serfed

[thyrex]

И что делать? Где и как его искать?

Без понятия. Наверняка был вход по RDP

[Serfed]

 

И что делать? Где и как его искать?

Без понятия. Наверняка был вход по RDP

 

 

 

А вы не могли бы дать какие-нибудь рекомендации что нужно сделать чтобы такое не повторилось? Нужно ли сносить систему, все чистить и т.п. чтобы это не повторилось?

[thyrex]

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

[Serfed]

Активного шифратора в логах нет. Так что сносить систему не имеет смысла. Просто смените пароль от RDP на более сложный и делайте бэкапы важных данных

Спасибо вам большое.