Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

[Расшифровано] Фотографии были зашифрованы (Предположительно WannaCash)

EduardSidoruk
 Поделиться

Рекомендуемые сообщения

EduardSidoruk

EduardSidoruk

Опубликовано
Опубликовано

Добрый времени суток, у меня примерно год назад появился Trojan, по его обнаружению, переустановил ОС. Файлы с фотографиями были зашифрованы. Скорее всего шифрование произошло после запуска, какой-то программы, было давно, поэтому точно сказать не могу. На различных порталах выдало возможный Троян - WannaCash. Прошу оказать помощь в связи с этой проблемой. Все файлы прикрепляю к теме.

Зашифрованные файлы.7z FRST.txt Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано

C:\Windows\svchost.exe проверьте на virustotal.com и пришлите ссылку на результат

 

По поводу шифрования: такая версия ранее не попадалась, потребуется время на доработку дешифратора и если повезет, то получите расшифровку

thyrex

thyrex

Опубликовано
Опубликовано

Пока уберем имеющиеся вирусы

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2405493334-2814958782-2126608307-1001\...\Run: [br] => C:\Windows\svchost.exe [10199528 2022-01-16] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\WINDOWS\system32\svchosts.exe
C:\Windows\svchost.exe
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [270]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [422]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано
3 часа назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

Ещё это, пожалуйста.

  • Like (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровку постараюсь проверить на выходных

EduardSidoruk

EduardSidoruk

Опубликовано
  • Автор
Опубликовано

Огромное спасибо, модератору и консультанту "thyrex", помог расшифровать файлы. Все получилось! Еще раз спасибо!

  • thyrex изменил название на [Расшифровано] Фотографии были зашифрованы (Предположительно WannaCash)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Serega Magur
      Номер+Файл зашифрован. Пиши noallpossible@cock.li .happy new year
      Автор Serega Magur
      Здравствуйте.
      Зашифровались файлы, имя файла стало таким Номер+Файл зашифрован. Пиши noallpossible@cock.li .happy new year. затронуты были фотографии и офисные документы.
      Систему переустановили до меня, все что осталось это зашифрованные файлы, без текста вымогательства...
      К сожалению исходных файлов не найду, только зашифрованные.
      файлы1.rar
      файлы2.rar
    • Andrey1977
      [РЕШЕНО] Файл зашифрован. Пиши noallpossible@cock.li .happy new year
      Автор Andrey1977
      Здравствуйте. Нашел Ваш ресурс и обращаюсь с просьбой  о помощи в решении проблемы. Дело в том что, как я подозреваю, но не утверждаю, что после посещения (судя по истории посещения страниц браузера), начали изменяться (шифроваться) файлы различного формата (фотографии, документы офис, PDF, TХЕ и возможно другие)первый и последний файлы прилагаю, а также файл который точно является фотографией. Отправил письмо злоумышленнику по адресу "noallpossible@cock.li" с текстом "happy new year" и получил ответ:
      <Без темы>
      noallpossible@cock.li
      26 декабря, 8:48
      Кому: вам
      On 2019-12-25 18:32, Андрей Ванин wrote:
      > happy new year
      >
      > --
      Приветствую.

      Стоимость полной расшифровки стоит 10'000 тысяч российских рублей.

      Для вашей уверенности в моих намерениях, расшифрую 2 файла бесплатно
      (любые кроме документов)

      У вас есть неделя. Начиная со дня получения вами этого письма. По
      истечению срока, в расшифровке вам будет отказано.

      -----------------------------------------------------------------------------------
      Внимание ! Если не отвечаю на письма более суток - пишите на резервный
      адрес почты.

      резервная почта: supermax@cock.lu
      CollectionLog-2019.12.29-11.13.zip
      CollectionLog-2019.12.29-11.22.zip
      Первыи и последний зашифрованные файлы.rar
      точно фото.rar
    • Vladislav55
      [РЕШЕНО] Файл зашифрован [фото, архивы].wannacash
      Автор Vladislav55
      Здравствуйте, пожалуйста помогите, зашифрованы все файлы фото с разными расширениями, архивы..
      CollectionLog-2019.12.18-21.59.zip
      Файл зашифрован Reno clio_Марина.jpg.wannacash .zip
      Файл зашифрован Gsm-Unit Manual A-300 rus.pdf.wannacash .zip
    • papa_pasha
      Пожалуйста подскажите чем расшифровать wannacash
      Автор papa_pasha
      Случайно заразил компьютер вымогателем, при установке программы отключал антивирус, лазал в это время по интернету и скачал архив с шифровальщиком. Обратил внимание на то, что постоянно идет обращение к HDD. Перегрузил комп. Шифровальщик прибился антивирусом от Microsoft, но все-таки успел немного нагадить. Прикрепляю сообщение о зашифровке, нашел в Temp пользователя, в архиве Public находится файл, появившийся одновременно с txt и несколько зашифрованных файлов
      как расшифровать файлы.txt
      Public.rar
      Файл зашифрован Огород 2019 Урожай.docx.wannacash .zip
      Файл зашифрован Телефоны.xls.wannacash .zip
    • jonbi
      Вирус wannacash все зашифровал
      Автор jonbi
      Скачал файл "Ключи активации на 365.zip". на всех файлах при открытии Файл зашифрован. Пиши. почта: justsurrender@rape.lol
      CollectionLog-2019.12.13-17.34.zip
×
×
  • Создать...