Перейти к содержанию

[Расшифровано] Фотографии были зашифрованы (Предположительно WannaCash)

EduardSidoruk
 Поделиться

Рекомендуемые сообщения

EduardSidoruk

EduardSidoruk

Опубликовано
Опубликовано

Добрый времени суток, у меня примерно год назад появился Trojan, по его обнаружению, переустановил ОС. Файлы с фотографиями были зашифрованы. Скорее всего шифрование произошло после запуска, какой-то программы, было давно, поэтому точно сказать не могу. На различных порталах выдало возможный Троян - WannaCash. Прошу оказать помощь в связи с этой проблемой. Все файлы прикрепляю к теме.

Зашифрованные файлы.7z FRST.txt Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано

C:\Windows\svchost.exe проверьте на virustotal.com и пришлите ссылку на результат

 

По поводу шифрования: такая версия ранее не попадалась, потребуется время на доработку дешифратора и если повезет, то получите расшифровку

thyrex

thyrex

Опубликовано
Опубликовано

Пока уберем имеющиеся вирусы

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2405493334-2814958782-2126608307-1001\...\Run: [br] => C:\Windows\svchost.exe [10199528 2022-01-16] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\WINDOWS\system32\svchosts.exe
C:\Windows\svchost.exe
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано
3 часа назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

Ещё это, пожалуйста.

  • Like (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровку постараюсь проверить на выходных

EduardSidoruk

EduardSidoruk

Опубликовано
  • Автор
Опубликовано

Огромное спасибо, модератору и консультанту "thyrex", помог расшифровать файлы. Все получилось! Еще раз спасибо!

  • thyrex изменил название на [Расшифровано] Фотографии были зашифрованы (Предположительно WannaCash)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nibug
      Предположительно Lockbit зашифровал файлы
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Марко32
      Предположительно Майнер
      Автор Марко32
      Начал замечать, что без ничего видеокарта работает на 20 процентов. Но когда открываю диспетчер задач оно сразу же пропадает (но видно на долю секунду).
      Сделал анализ в FRST. Пожалуйста, помогите.
      Addition.txt FRST.txt
    • zavnsc
      [Расшифровано] зашифровали файлы
      Автор zavnsc
      стоял антивирус total 360 и поймал шифровальщика. я купил и установил сразу касперского. файлы зашифрованы с расширением beBBcCDccD   может кто знает как и чем их расшифровать. спасибо заранее
    • Сергей Клюхинов
      Зашифрованы файлы, предположительно LockBit 3.0 Black/CriptomanGizmo
      Автор Сергей Клюхинов
      Зашифрованы файлы.
      Если есть идеи о способе расшифровки - прошу помощи.
      files.zip cFTZZMrfx.README.txt
    • Tarhunchik
      Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom
      Автор Tarhunchik
      Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.
      Addition.txt FRST.txt Зашифрованные.7z
×
×
  • Создать...