wannacash 2.0 [РАСШИФРОВАНО] Файлы зашифрованы WANNACASH NCOV v 170720

[lunatic]

Нужна помощь в расшифровке файлов. Примеры файлов во вложении.

WANNACASH NCOV v170720.rar

[Sandor]

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Если нужна помощь в очистке системы, добавьте к следующему сообщению логи FRST по правилам.

[thyrex]

@Sandor, логи есть в архиве.

[Sandor]

Виноват, сейчас исправлюсь

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-3117770024-2130182744-2356910371-1001\...\MountPoints2: {43af3fed-6e20-11e9-aa08-001500c76630} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL F:\autorun.exe /auto
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  HKU\S-1-5-21-3117770024-2130182744-2356910371-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mail.ru/cnt/10445?gp=812208
  SearchScopes: HKU\S-1-5-21-3117770024-2130182744-2356910371-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxps://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B68756EB0-71CF-4D2A-8443-CE75EC9C93AF%7D&gp=812209
  BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\viven\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll => No File
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\viven\AppData\Roaming\Mozilla\Firefox\Profiles\co0cwk39.default\Extensions\homepage@mail.ru.xpi [2020-01-13] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[lunatic]

В архиве fixlog. Нашел некоторые исходные файлы. Прикрепляю с зашифрованными.

Fixlog.rar образцы.rar

[Sandor]

22 минуты назад, lunatic сказал:

Нашел некоторые исходные файлы

С этим заражением такие файлы не помогут.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[lunatic]

 В архиве лог SecurityCheck.

sequritychecklog.rar

[Sandor]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1.19041.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.3.2682 Внимание! Скачать обновления
VLC media player v.3.0.6 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.344 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.303 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 73.0.1 (x64 ru) v.73.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.79.0.3945.117 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

 

Читайте Рекомендации после удаления вредоносного ПО

[lunatic]

Обновления я установил. Malwarebytes Anti-Malware и Malwarebytes AdwCleaner прогнал. Ace Stream стоит уже давно, никогда проблем с ним не было. А с зашифрованными файлами что делать? Сносить или подождать "таблетку"?

[thyrex]

Только Вам решать, что делать с файлами. С 31 марта, когда появились первые разновидности версии 2.0 этого шифратора, ни одной "таблетки" не появилось.

[lunatic]

Понятно. Спасибо.

[Sandor]

Ваши файлы https://www.sendspace.com/file/jm83rq

[lunatic]

Спасибо Sandor. Да, это мои файлы. Значит что-то можно сделать с остальными? У Вас есть таблетка?

[Sandor]

Нужно ещё некоторое время подождать, пока инструмент доводится до ума.