wannacash 2.0 словил шифровальшика

[ridd]

Добрый день! Нуждаюсь в помощи.  Wannacash зашифровал файлы docx, excel, PDF, фото, видео.словил при скачивании ключей на нод 32.высылаю примеры файлов.и письмо.. и логи

Как расшифровать файлы.txt 60144 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash .zip 60145 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash .zip CollectionLog-2020.11.29-15.23.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Sandor]

Здравствуйте!

 

Расшифровки этой версии вымогателя нет. Помощь в очистке системы нужна или планируете переустановку?

[ridd]

если не получиться очистить . то переустановка

 

если можно. от помощи не откажусь

 

[Sandor]

Активного заражения нет, так что будем чистить следы и мусор. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ridd]

Addition.txt FRST.txt

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Atom

Bing Bar

UmmyVideoDownloader

Unity Web Player

Амиго

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

 

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-199698121-3711949756-1200328802-1001\...\Run: [maxx] => explorer.exe hxxp://sd-steam.info <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {6C3F3B95-2CAC-4A04-8C1C-4E14EE26CF3B} - System32\Tasks\MailRuUpdater => C:\Users\maxx\AppData\Local\Mail.Ru\MailRuUpdater.exe [4157656 2016-10-21] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
  Task: {BFD53184-8C19-4820-992D-8994BBCBE51A} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1741416 2020-09-19] (Avast Software s.r.o. -> Avast Software)
  FF user.js: detected! => C:\Users\maxx\AppData\Roaming\Mozilla\Firefox\Profiles\4riyz326.default\user.js [2013-03-15]
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\maxx:Heroes & Generals [38]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [221]
  FirewallRules: [{7C51429F-6247-428C-BD91-E939D981A370}] => (Allow) LPort=1688
  FirewallRules: [{15042C8B-D6F0-4395-896D-CC0E222261FA}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
  FirewallRules: [{4F083A2E-DDA0-4E53-8ECE-17A384D02D87}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 29 ноября, 2020 пользователем Sandor

[ridd]

Fixlog.txt

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[ridd]

 

 

AdwCleaner[S01].txt

[Sandor]

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

[ridd]

я так понимаю. что зашифрованные файлы удалять..

AdwCleaner[C01].txt

[Sandor]

Если есть возможность, отложите их до лучших времен, вдруг злоумышленник расщедрится и выложит ключи.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ridd]

 SecurityCheck by glax24 & Severnyj,  не могу скачать. пишет ошибка 556 ссл сертефиката

 

526 ошибка. не то написал

 

[Sandor]

Пробуйте отсюда SecurityCheck by glax24 & Severnyj