Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помогите, пожалуйста, вирус wannacash зашифровал файлы.

Михаил641991

Автор Михаил641991
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Михаил641991

Михаил641991

Опубликовано
Опубликовано

Помогите, пожалуйста, вирус wannacash зашифровал файлы. Как расшифровать? Хотя бы документы, учебные материалы. Ничего открыть не могу. ПОЖАЛУЙСТА, помогите. Всё, что нужно пришлю.

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
SQ

SQ

Опубликовано
Опубликовано

Удалите остатки от антивируса Avast утилитой Avast Remover.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: WindowsUpdater - C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe','');
 DeleteSchedulerTask('WindowsUpdater');
 DeleteFile('C:\Users\Лариса\AppData\Roaming\WindowsUpdater\Updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.

Михаил641991

Михаил641991

Опубликовано
  • Автор
Опубликовано (изменено)

А у меня антивирус Kaspersky стоит, не avast. Все равно прогонять  утилитой Avast Remover.?

Изменено пользователем Михаил641991
SQ

SQ

Опубликовано
Опубликовано

А у меня антивирус Kaspersky стоит, не avast

Так в логах имеются остатки от антивируса Avast, поэтому указал в рекомендациях как их можно удалить.

 

Вот пример остатков:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Михаил641991

Михаил641991

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал

 

uarantine.zip из папки AVZ загрузите этот архив через данную форму   - пишет "ошибка загрузки . данный файл уже был заружен. 
Поэтому сюда прикрепляю 

 


Результаты сканирования. По-моему два раза случайно просканировал

quarantine.zip

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено пользователем Михаил641991
SQ

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

thyrex

thyrex

Опубликовано
Опубликовано

Образцы пострадавших файлов прикрепите в архиве к следующему сообщению

  • Спасибо (+1) 1
Михаил641991

Михаил641991

Опубликовано
  • Автор
Опубликовано

Открылось 3 файла - word, pdf, фото! Спасибо  :ura:  а как остальное восстановить? Вам всё прислать? 

thyrex

thyrex

Опубликовано
Опубликовано

Файлы размером 248 байт до шифрования имели нулевой размер. Общий размер пострадавших файлов какой?

Михаил641991

Михаил641991

Опубликовано
  • Автор
Опубликовано (изменено)

Так как там много файлов (27 тыс.) - на 26 ГБ пишет, если все зашифрованные считать. Я просто их форматы не вижу. Могу выбрать нужные из своих папок,  есть же еще системные файлы

Изменено пользователем Михаил641991

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MaxOne
      Фaйл зaшифрoвaн [omygosh@cock.li]. wаппасаsh
      Автор MaxOne
      В годах 2017-2020 файлы были зашифрованы: [omygosh@cock.li]. wаппасаsh
      Может быть имеется ключ или метод для расшифровки?
      Образцы файлов.rar Addition.txt FRST.txt
    • kamati
      Вирус шифровальщик cryptlocker@tutanota.com_Тема_2
      Автор kamati
      Всем привет!
      На мой взляд такая же тема лежит рядом. https://forum.kasperskyclub.ru/index.php?showtopic=60657 , но почитав правила- написано создать новую тему.
           Так вот все что необходимо, вроди собрал. Если еще что то нужно, подскажите!
      1. Вирусником "прогнал", касперский и куриелт от веб. Вирусов не обнаружило.
      2. Логи залогировал  CollectionLog-2018.11.10-22.27.zip
      3. Farbar Recovery Scan Tool  "прогнал" файлы креплю. FRST+Addition.rar
      4. По поводу вставки в блокнот https://forum.kasperskyclub.ru/index.php?showtopic=60657&p=899633 не до конца понял какой файл нужно править в моем случае.
      5. файл Project37.exe  на пострадавшем компе не  найден.
      6. HOSPIT.rar это несколько зашифрованных файлов, разных типов. HOSPIT.rar
      7. ну и тхт. прилагаю. как расшифровать файлы.txt
       
       
      Спасибо.
    • dion75
      Вирус шифровальщик cryptlocker@tutanota.com
      Автор dion75
      Добрый день помоги избавится от шифровальщика, работа стоит заранее спасибо. в каждой папке есть файл блокнота с сообщением. Пример зараженного прилагаю
      Все файлы с расширениями: .doc .docx .xls .xlsx .xlst .ppt .pptx .rtf .pot .pages .indd .odt .ods .pdf .zip.rar .7z .jpg .png .mp4 .mov .avi .mpeg .flv .psd .psb были зашифрованы
      Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
      Свяжитесь с нами cryptlocker@tutanota.com
       

      Вот еще файл
      зашифровано Κίνδυνοι για την ασφάλεια.doc
      зашифровано Oktobrios.pdf
    • Serega Magur
      Номер+Файл зашифрован. Пиши noallpossible@cock.li .happy new year
      Автор Serega Magur
      Здравствуйте.
      Зашифровались файлы, имя файла стало таким Номер+Файл зашифрован. Пиши noallpossible@cock.li .happy new year. затронуты были фотографии и офисные документы.
      Систему переустановили до меня, все что осталось это зашифрованные файлы, без текста вымогательства...
      К сожалению исходных файлов не найду, только зашифрованные.
      файлы1.rar
      файлы2.rar
    • Andrey1977
      [РЕШЕНО] Файл зашифрован. Пиши noallpossible@cock.li .happy new year
      Автор Andrey1977
      Здравствуйте. Нашел Ваш ресурс и обращаюсь с просьбой  о помощи в решении проблемы. Дело в том что, как я подозреваю, но не утверждаю, что после посещения (судя по истории посещения страниц браузера), начали изменяться (шифроваться) файлы различного формата (фотографии, документы офис, PDF, TХЕ и возможно другие)первый и последний файлы прилагаю, а также файл который точно является фотографией. Отправил письмо злоумышленнику по адресу "noallpossible@cock.li" с текстом "happy new year" и получил ответ:
      <Без темы>
      noallpossible@cock.li
      26 декабря, 8:48
      Кому: вам
      On 2019-12-25 18:32, Андрей Ванин wrote:
      > happy new year
      >
      > --
      Приветствую.

      Стоимость полной расшифровки стоит 10'000 тысяч российских рублей.

      Для вашей уверенности в моих намерениях, расшифрую 2 файла бесплатно
      (любые кроме документов)

      У вас есть неделя. Начиная со дня получения вами этого письма. По
      истечению срока, в расшифровке вам будет отказано.

      -----------------------------------------------------------------------------------
      Внимание ! Если не отвечаю на письма более суток - пишите на резервный
      адрес почты.

      резервная почта: supermax@cock.lu
      CollectionLog-2019.12.29-11.13.zip
      CollectionLog-2019.12.29-11.22.zip
      Первыи и последний зашифрованные файлы.rar
      точно фото.rar
×
×
  • Создать...