thanos Шифровальщик Thanos

[DaniilIsa]

Приехал к младшему брату, когда закончилась сессия. На егокомпьютере часть файлов ( не все, в основном доки и фильмы со сканами) оказалось зашифровано. Найти файл шифровальщике не удалось. Судя по всемуон самоуничтожился. Также не смог выяснить, когда и как были зашифрованы файлы.  id-ransomware (сайт, который определяет тип шифровальщика) утверждает, что это thanos. Однако я так и не нашел дешифратора для него 

Логи.7z Требования и два файла.7z

[Sandor]

Здравствуйте!

 

Дешифровка была только для некоторых ранних версий.

Помощь в очистке системы от мусора нужна?

[DaniilIsa]

Смысл, если восстановить данные с компа не удастся? Но, впрочем, буду благодарен за советы.

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3155670561-3148035876-804668993-1000\...\MountPoints2: {a4f7e335-8b43-11ea-b2ad-10c37b4fc770} - G:\HiSuiteDownLoader.exe
  Task: {664964A5-3190-419D-A766-425E49F8DFDA} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
  Task: {D3FEC564-0CCC-4188-B7C6-7F71BF5432BD} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
  Task: {D8688274-67F5-4B27-A604-E620CC2793CE} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
  Task: {F4F9F709-F4E1-4626-970B-F76C61F777DB} - \CAssistant-Радик -> Нет файла <==== ВНИМАНИЕ
  S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
  U1 aswbdisk; отсутствует ImagePath
  2020-03-14 19:52 - 2020-03-14 19:52 - 000230080 _____ (AVAST Software) C:\ProgramData\Avast.exe
  BHO: PDF-XChange V6 IE Plugin -> {42DFA04F-0F16-418e-B80C-AB97A5AFAD3A} -> Нет файла
  Toolbar: HKLM - PDF-XChange V6 IE Plugin - {42DFA04F-0F16-418e-B80C-AB97A5AFAD3A} -  Нет файла
  Toolbar: HKU\S-1-5-21-3155670561-3148035876-804668993-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  FirewallRules: [{5B49BD7B-191E-4615-A2DB-C453E590CB24}] => (Allow) C:\Users\Радик\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{0A02BBFB-CA9E-428E-ACBE-B9C6FFE0C54D}] => (Allow) C:\Users\Радик\MediaGet2\mediaget.exe => Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[DaniilIsa]

Благодарю. А по восстановлению файлов нет вообще никаких вариантов?

 

[Sandor]

Увы, нет. Fixlog.txt покажете?

[DaniilIsa]

 

Конечно.Fixlog.txt

 

[Sandor]

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.