• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. поймал шифровальщик

NFL

Новый пользователь
Сообщения
5
Реакции
0
Добрый день, я стал следующей жертвой вредителей, поймал шифровальщик wannacash v.170720

сам шифровальщик вроде имею в архиве, боюсь открывать повторно, скачал повторно после заражения так как мой на ПК был уже зашифрован.

осталось 3 дня, что порекомендуете с этим делать? Много зашифровано фото, есть ли смысл посылать деньги зловредам, какие шансы на успех? Вопрос не в деньгах а в результате.

не могу скачать Farbar Recovery Scan Tool!!! по этой ссылки (https://download.bleepingcomputer.com/farbar/FRST64.exe)
Спасибо.
 
Спасибо, а что по остальному? пароль на архив 123456, но не известно с какой частотой меняется шифровальщик
 

Вложения

  • Downloads1.rar
    293.4 KB · Просмотры: 7
Расшифровки этой версии вымогателя нет.
есть ли смысл посылать деньги зловредам, какие шансы на успех?
На ваш страх и риск. Мы не рекомендуем, могут и обмануть.

В архиве нет логов FRST. Или систему планируете переустановить?
 
log
А что с шифровальщиком, который в архиве, удалось изучить?
 

Вложения

  • FRST.rar
    33 KB · Просмотры: 1
Последнее редактирование:
Почистим мусор.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
MediaGet
Кнопка "Яндекс" на панели задач

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {2c346018-c66e-11e5-9d48-bb4bca5297be} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {3ec0059f-5ad9-11e1-8584-000f3dcc4dec} - K:\EasySuite.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {413b9524-dc0b-11e1-8b01-000f3dcc4dec} - H:\EasySuite.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {c885b97f-5a6c-11e1-a592-000f3dcc4dec} - J:\setup.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {ed1865c5-9cf8-11e6-9f8e-c18056ae12b9} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-1226872749-3077177879-2206818889-1000\...\MountPoints2: {ed1865cf-9cf8-11e6-9f8e-c18056ae12b9} - F:\Lenovo_Suite.exe
    AppInit_DLLs: C:\ProgramData\Ronzap\Voltwarm.dll => No File
    AppInit_DLLs-x32: C:\ProgramData\Ronzap\Voyatech.dll => No File
    GroupPolicy: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {4CC3D42B-B8AB-4CDC-986E-6530665C56EE} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
    Task: {7978BB2A-FEA5-4270-852A-2D1C880E6394} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    Task: {D9E950A4-56F6-4453-8296-C985741C4352} - \Update Service for Torrent Search -> No File <==== ATTENTION
    Task: {E7A03BF8-A1B0-478D-9CC7-D059A3D17698} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\ReimageUpdater.job => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\bWAeOsw.exe <==== ATTENTION
    Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\bWAeOsw.exe <==== ATTENTION
    FF Extension: (TSearch) - C:\Users\Boss\AppData\Roaming\Mozilla\Firefox\Profiles\dhudmeva.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2020-07-23] [Legacy] [not signed]
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWqICWRlg5p-TqszjLBH0_a90_33gHKHDgdo7q90W0mT-DzAGt2GqBksc5R_mdnXFjRrBTu-O5nn_CifoGNS_ZQ0PhoMczY9EWfk7NGeZZyNXTdEZUK_rZl4SuQWrABVMegCS66VKgM2Bd68D1uPUdg82vfygKkWxIa76Dfdvs
    CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1456419224&z=2afaad3ae256b3f5d48ab73gaz8w3q4zeg6t2o1oaz&from=amt&uid=samsungxhd321kj_s0mqjdpp616219"
    C:\Users\Boss\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
    C:\Users\Boss\AppData\Local\Google\Chrome\User Data\Default\Extensions\ialilpegnnfigbcggpbbdecdgencbfge
    CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
    C:\Users\Boss\AppData\Roaming\Opera Software\Opera Stable\Extensions\nofpoinhpaonfgjgoooobacfhhicgiah
    S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a
    S2 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe shuz -f "C:\ProgramData\\Ronzap\\Ronzap.dat" -l -a
    S4 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] <==== ATTENTION
    S1 bbrowserboost; \??\C:\Windows\system32\drivers\bbrowserboost.sys [X]
    S1 bd0001; system32\DRIVERS\bd0001.sys [X]
    S1 bd0002; system32\DRIVERS\bd0002.sys [X]
    S2 BDPaHlp; \??\C:\Program Files (x86)\Baidu\BrowserProtect\4.2.2.390\drivers\x64\BDPaHlp.sys [X]
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17063.223\QMUdisk64.sys [X]
    S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.2.17063.223\softaal64.sys [X]
    AlternateDataStreams: C:\Users\Boss\dasa.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\dasa.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Boss\Dobropis.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\Dobropis.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Boss\чекALZA.jpeg:3or4kl4x13tuuug3Byamue2s4b [75]
    AlternateDataStreams: C:\Users\Boss\чекALZA.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    FirewallRules: [{A826F79F-1636-4242-93D0-52510940A574}] => (Allow) LPort=26675
    FirewallRules: [{C0E38D5E-89B8-4B3E-ACF5-6FAAE5ECC6F8}] => (Allow) LPort=1542
    FirewallRules: [{5C1DFB13-6C2E-4C2F-8C87-E6D3C5DFA7EB}] => (Allow) LPort=1542
    FirewallRules: [{85A32E51-D805-437E-A98F-4FA794BDFC24}] => (Allow) LPort=53
    FirewallRules: [{3515B64B-24E1-4D20-A7DC-62676220EDFE}] => (Allow) LPort=67
    FirewallRules: [{B6829608-BC2F-482C-8474-DB570D9755F7}] => (Allow) LPort=68
    FirewallRules: [{2E0572BF-4303-43BF-AF05-112AAC07733B}] => (Allow) LPort=53
    FirewallRules: [{FD116842-4196-4350-94D2-07C41734F927}] => (Allow) LPort=53
    FirewallRules: [{F6EF77F7-AFED-43BB-BC32-4BC023474D44}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe => No File
    FirewallRules: [{4A8FCC61-4ED8-4C3C-BB57-0AA1B0D1F094}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe => No File
    FirewallRules: [{736A05C5-E6F0-40AC-BC7D-D8FF6B900FF6}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BDASoftMgr.exe => No File
    FirewallRules: [{C320C81C-F604-4FCC-A998-6748E9D318D7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BDASoftMgr.exe => No File
    FirewallRules: [{0EE1BC76-F21D-4AD1-B310-1D0494E553F7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{CB1D322B-7B32-4622-8D71-07306E472080}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{11935E35-E90A-49C3-AC4C-EFB9955952DB}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{CA1B0890-BD2E-43EA-B6D4-FF23B2531059}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAn.exe => No File
    FirewallRules: [{7527AF59-FC13-4A40-A49C-98B101015C5B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{59F994B9-134A-496B-BD99-74DDEF2B931D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{11B59F7D-1A28-4B3F-AE8B-AF7FBD2E7769}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{1B7B33BA-6A02-4E20-9C7B-11030277228D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnBugRpt.exe => No File
    FirewallRules: [{6A280067-EEE4-4A3D-B02C-AD5D59ECD0F2}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{621CBFE6-CB48-4A8F-8B64-10EFB008F19F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{86843371-B828-469A-B73D-DDBF61C82E8C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{7DDEDF0F-5C35-4FBE-AC22-50B60597338F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe => No File
    FirewallRules: [{5715B6AD-BC4B-423B-B321-774FA24AC087}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe => No File
    FirewallRules: [{C61E21A2-77ED-42A6-86CA-053402B22EA0}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe => No File
    FirewallRules: [{7715791E-647D-4A45-9506-5687B9C7EE39}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnUpdate.exe => No File
    FirewallRules: [{6CCEC388-6028-41CF-BB46-E28831656F94}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnUpdate.exe => No File
    FirewallRules: [{E7C0888F-7AE0-426E-8C9C-EE4DB89BF8B6}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe => No File
    FirewallRules: [{0ACF4733-5074-4654-891C-3F8E34FEADE9}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe => No File
    FirewallRules: [{0C7DD15FirewallRules: [{125C49CE-1BC4-4840-9351-6B4583B2EBCF}] => (Allow) C:\Users\Boss\AppData\Local\MediaGet2\mediaget.exe => No File
    FirewallRules: [{BD89D980-7354-46D7-AD85-59C423449EC2}] => (Allow) C:\Users\Boss\AppData\Local\MediaGet2\mediaget.exe => No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
я про тело шифровальной программы, для thyrex может поможет?
 
Не поможет. То, что Вы скачали и запустили, - это всего лишь загрузчик шифратора. Сам шифратор скачивается с другого обменника и сохраняется в папку с загрузчиком (я так думаю) под именем 1.ехе. Таких загрузчиков у меня уже несколько и ни разу сам шифратор больше скачать не получилось. Учитывая, сколько искателей халявных ключей успевает скачать загрузчики, предположу, что ссылки на сам шифратор либо настроены на ограниченное количество скачиваний (в т.ч. на единственное), либо удаляются хостером.
 
  • Like
Реакции: NFL
Спасибо за разъяснение, остаётся одна возможность - платить зловреду.
 
Если будет возможность поделитесь дешифратором, может, что получится вытянуть для других пользователей.
 
Получилось так
 

Вложения

  • Zhivotnye-1920x1200.zip
    214.4 KB · Просмотры: 1
Проверьте ЛС
 
Со слов пользователя, расшифровка была успешной.
 
Назад
Сверху Снизу