Перейти к содержанию
Сезон прогнозов — 2020!

[РАСШИФРОВАНО] Файлы зашифрованы WANNACASH NCOV v 170720

lunatic
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 833

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Если нужна помощь в очистке системы, добавьте к следующему сообщению логи FRST по правилам.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 833

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKU\S-1-5-21-3117770024-2130182744-2356910371-1001\...\MountPoints2: {43af3fed-6e20-11e9-aa08-001500c76630} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL F:\autorun.exe /auto
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKU\S-1-5-21-3117770024-2130182744-2356910371-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mail.ru/cnt/10445?gp=812208
SearchScopes: HKU\S-1-5-21-3117770024-2130182744-2356910371-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxps://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B68756EB0-71CF-4D2A-8443-CE75EC9C93AF%7D&gp=812209
BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\viven\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll => No File
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\viven\AppData\Roaming\Mozilla\Firefox\Profiles\co0cwk39.default\Extensions\homepage@mail.ru.xpi [2020-01-13] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 833

Опубликовано
Опубликовано
22 минуты назад, lunatic сказал:

Нашел некоторые исходные файлы

С этим заражением такие файлы не помогут.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 833

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1.19041.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.3.2682 Внимание! Скачать обновления
VLC media player v.3.0.6 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.344 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.303 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 73.0.1 (x64 ru) v.73.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.79.0.3945.117 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
lunatic

lunatic 0

Опубликовано
  • Автор
Опубликовано

Обновления я установил. Malwarebytes Anti-Malware и Malwarebytes AdwCleaner прогнал. Ace Stream стоит уже давно, никогда проблем с ним не было. А с зашифрованными файлами что делать? Сносить или подождать "таблетку"?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 180

Опубликовано
Опубликовано

Только Вам решать, что делать с файлами. С 31 марта, когда появились первые разновидности версии 2.0 этого шифратора, ни одной "таблетки" не появилось.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
  • thyrex changed the title to [РАСШИФРОВАНО] Файлы зашифрованы WANNACASH NCOV v 170720
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • seregastar
      Фотографии зашифрованы шифровальщиком WANNACASH NCOV v170720
      От seregastar
      Добрый вечер! 
      Компьютер семейный, пользуются несколько пользователей. В какой-то момент обнаружили, что все фотографии изменили миниатюру изображения,изменили название и не открываются.
      Названия файлов теперь стали такого типа: Файл ......... зашифрован. Пиши. [ Почта mylifeisfear@cock.li ] .WANNACASH NCOV v170720
      Причина точно неизвестна. Возможно пытались скачать какой-то ключ.
      После обнаружения проблемы, пытались что-то предпринять, и переустановили систему.
      Конечно же, не помогло.
      Случайным образом наткнулся на Ваш форум. 
      Прощу помощи в расшифровке фотографий, т.к. это семейный фотоархив за несколько лет ?
       
      Во вложении прикладываю файлы с логами и архив с несколькими зашифрованными файлами.
      Addition.txt FRST.txt Зашифрованные_файлы.zip
    • Маргo
      Вирус зашифровал файлы
      От Маргo
      Скорее всего после скачивания ключей для ESET NOD 32 зашифрованы были все файлы.Прошу проверить на возможность расшифровки файлов
      FRST.txt Addition.txt virus.rar
    • Evrik
      Добрый день, WANNACASH NCOV v170720
      От Evrik
      Добрый день. Был скачан файл для ключей нод 32 с расширением .exe. ( Предполагаю его уже видели тут...)
      Компьютер  срочно был нужен для работы  и Windows был экстренно переустановлен ( с форматированием всех дисков). После переустановки личные файлы были восстановлены с помощью Ontrack EasyRecovery Professional и скачаны на флешку, Есть ли возможность их вернуть ?
      Логи и пример файлов приложены.
      Логи.7z Файлы.7z
    • Jolomendr
      Требуется помощь в расшифровке WANNACASH NCOV v170720
      От Jolomendr
      Добрый день. Был скачан файл для ключей нода32 с расширением .exe. После открытия архива (файл сам не открывал как увидел .exe сразу закрыл) начались непонятные действия, после чего вылезло сообщение с блокировкой. 
      Прошу помощи. Логи и файлы прикладываю. Спасибо
    • daa_sasha
      [РАСШИФРОВАНО] WANNACASH v170720
      От daa_sasha
      Все значимые файлы на ВАШЕМ компьютере были зашифрованы с помощью криптографической библиотеки "OpenSSL" при использованием AES-256-CBC + RSA 1024bit шифрования.
      ---------------------------------------------------------------------------------------------------------------------
      Я заверяю, что ВЫ сможете легко восстановить все свои файлы.
      ---------------------------------------------------------------------------------------------------------------------
      Стоимость полной дешифровки данных стоит - 10'000 тыс. российских рублей.
      ---------------------------------------------------------------------------------------------------------------------
      Чтобы подтвердить мои намерения, отправьте мне на почту 1 пострадавший файл ( любой кроме документа ! ), и ВЫ получите его расшифровку.
      Почта: mylifeisfear@cock.li
      Резеврная почта: safronov@cock.li - Если не отвечаю в течении суток, пишите на резервную почту.
      Не забывайте проверять папку спама
      Я не использую другие емейл адреса. Только выше указанные.
      ---------------------------------------------------------------------------------------------------------------------
      У ВАС есть ровно 7 дней на связь со мной. После 25.07.2020 числа в расшифровке ВАМ будет отказано. Я предупредил.
      ---------------------------------------------------------------------------------------------------------------------
      * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к повреждению или другим неприятным для ВАС последствиям.
      * Крайне не рекомендую обращаться за помощью на форумы антивирусных компаний. Только лишь потеряете время на ожидание отрицательного ответа.
      _____________________________________________________________________________________________________________________
      WANNACASH v170720
      182569
      ID: 436438309
       
       
      Помогите!!!!
×
×
  • Создать...