Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Нуждаюсь в помощи.  Wannacash зашифровал файлы docx, excel, PDF, фото, видео.словил при скачивании ключей на нод 32.высылаю примеры файлов.и письмо.. и логи

Как расшифровать файлы.txt 60144 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash .zip 60145 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash .zip CollectionLog-2020.11.29-15.23.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет. Помощь в очистке системы нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Активного заражения нет, так что будем чистить следы и мусор. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Atom

Bing Bar

UmmyVideoDownloader

Unity Web Player

Амиго

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

 

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-199698121-3711949756-1200328802-1001\...\Run: [maxx] => explorer.exe hxxp://sd-steam.info <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {6C3F3B95-2CAC-4A04-8C1C-4E14EE26CF3B} - System32\Tasks\MailRuUpdater => C:\Users\maxx\AppData\Local\Mail.Ru\MailRuUpdater.exe [4157656 2016-10-21] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
    Task: {BFD53184-8C19-4820-992D-8994BBCBE51A} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1741416 2020-09-19] (Avast Software s.r.o. -> Avast Software)
    FF user.js: detected! => C:\Users\maxx\AppData\Roaming\Mozilla\Firefox\Profiles\4riyz326.default\user.js [2013-03-15]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\Users\maxx:Heroes & Generals [38]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [221]
    FirewallRules: [{7C51429F-6247-428C-BD91-E939D981A370}] => (Allow) LPort=1688
    FirewallRules: [{15042C8B-D6F0-4395-896D-CC0E222261FA}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
    FirewallRules: [{4F083A2E-DDA0-4E53-8ECE-17A384D02D87}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Если есть возможность, отложите их до лучших времен, вдруг злоумышленник расщедрится и выложит ключи.

 

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Сергей Сокол
      Добрый вечер! 
      Компьютер семейный, пользуются несколько пользователей. В какой-то момент обнаружили, что все фотографии изменили миниатюру изображения, изменили название и не открываются.
      Названия файлов теперь стали такого типа: Файл ......... зашифрован. Пиши. [ Почта mylifeisfear@cock.li ] .WANNACASH v010820
      Причина точно неизвестна. Возможно пытались скачать какой-то ключ.
      После обнаружения проблемы, пытались что-то предпринять, и переустановили систему.
      Конечно же, не помогло.
      Случайным образом наткнулся на Ваш форум. 
      Прощу помощи в расшифровке фотографий, т.к. это семейный фотоархив за несколько лет 
      FRST.txt Addition.txt 103NIKON.rar
    • От Анатолий Юрьевич
      Зашифрованными оказались текстовые файлы и фотографии,они аккуратно упаковались в архивы и архивы оказались запаролены. После чего это произошло сказать затрудняюсь так как комп не включал больше двух недель. Прошу вашей помощи,если это возможно. Текстовые файлы дочери,учиться заочно!!!
      CollectionLog-2020.12.24-13.18.zip 3883 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash .zip
    • От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • От Виталий2610
      Здравствуйте!
      01.11.2020 г. большинство файлов на моем ПК были зашифрованы вирусом «wannacash». Во всех зашифрованных файлах изменилось название на «Фaйл зaшифрoвaн [omygosh@cock.li] wаnnасаsh», а также изменились расширения на «zip».
      К зашифрованным файлам прикреплена следующая информация: «У ВАС есть ровно 7 дней на связь со мной. 08.11.2020 числа в расшифровке ВАМ будет отказано. Контакты: 1. omygosh@cock.li 2. itstome@cock.li ».
      Изменилась и картинка рабочего стола. Прикрепляю также один из зашифрованных вордовских файлов и его незашифрованный оригинал.
      Можно ли вообще расшифровать зашифрованные вирусом «wannacash» файлы?


      12687 Фaйл зaшифрoвaн [omygosh@cock.li] wаппасаsh .zip Малахов-Здоровье_питание.doc
       
      Строгое предупреждение от модератора kmscom Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам!  
    • От MuxauJI
      Добрый вечер так же заразился этим вирусом шифровальщиком вот логи FRST 
      Addition_07-12-2020 17.12.09.txt FRST_07-12-2020 17.12.09.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...