Шифровальщик @WanaDecryptor@ (Trojan-Ransom.Win32.Wanna.m, Trojan-Ransom.Win32.Wanna.b)

**doc1286** · 13.05.2017, 14:27

Сам по себе перезагрузился компьютер. После перезагрузки зашифровались файлы txt, jpg, docx, mp3... (Пример: MOV_0003.mp4.WNCRY).
Так же почти во всех папках появились файлы @[email protected] и @[email protected].
Ни один антивирус не помог.

Пожалуйста, прошу помочь с лечением и восстановлением файлов.

Логи вложил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.05.2017, 14:28

Уважаемый(ая) doc1286, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 14.05.2017, 20:40

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**doc1286** · 14.05.2017, 21:08

Сделал!

**Vvvyg** · 14.05.2017, 22:01

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-18\...\RunOnce: [] => [X]
ShellIconOverlayIdentifiers: [IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} =>  -> No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ProxyEnable: [.DEFAULT] => Proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:8080
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B51AED070-F6F5-467E-ABAB-74D40CBF581E%7D&gp=811037
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Doc\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2015-09-26]
CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bmfkokagbnpkfpcmgejfakcgihomndal] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta189\ch\VideoPlayerV3beta189.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fkndebkjmefgahonloobbmhjbkljabdb] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release743\ch\RichMediaViewV1release743.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [gaafbiokojkkhdcgnohhbpgekflcdjgi] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha4386\ch\TrustMediaViewerV1alpha4386.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ibcnefhpiepgcmmcldcmocgglnhgplod] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home723\ch\MediaWatchV1home723.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [llggialcamnjcmicjkljapekhfilbhdn] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1394\ch\MediaViewerV1alpha1394.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [lmmhdljmlbagamfehooomhpmkaicklcg] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4315\ch\MediaBuzzV1mode4315.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [mpodjmnkehfohijpjkjagagloafbeglp] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha1154\ch\MediaViewV1alpha1154.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [npalfkbmbncophgmmfhefkepmpljnibc] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2717\ch\MediaViewV1alpha2717.crx <not found>
OPR Extension: (Ge-Force) - C:\Users\Doc\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-11-04]
OPR Extension: (SensePlus.V2) - C:\Users\Doc\AppData\Roaming\Opera Software\Opera Stable\Extensions\knlpigpfaognbholppaembpfphilacie [2015-11-04]
StartMenuInternet: (HKLM) Opera.exe - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.mystartsearch.com/?type=sc&ts=1435492611&z=8874af1da1a22b5cd497d2agcz3ccw4z3tfq1gatbo&from=cmi&uid=ST1000DM003-1CH162_Z1D60MVRXXXXZ1D60MVR
Folder: C:\ziNMUHX4MKoYj5DA
Folder: C:\AMZMCDlbNo5X08bf
Folder: C:\ProgramData\fhbvpcwwvooez875
CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
Task: {01D6CB42-E816-4BB0-A5DE-5F792FE387AB} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-7 -> No File <==== ATTENTION
Task: {1F3E0BB4-42C8-45CB-B25A-E3DB27C62E1B} - System32\Tasks\{7B23EAC4-72DB-46BE-ADF0-A6279C762D92} => Chrome.exe 
Task: {3351BDD9-55FB-4E8B-AC20-542174A1A81E} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-5 -> No File <==== ATTENTION
Task: {4CA8AC60-3DF5-424D-8B6C-9493B67885A1} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-11 -> No File <==== ATTENTION
Task: {4E676AFD-1310-4BEB-AF74-85F21FB53238} - System32\Tasks\{1976C928-D43A-4401-9EF7-2D19D1B77277} => Chrome.exe 
Task: {56ACEDB4-5A61-41A9-912F-9EA4816CA04A} - System32\Tasks\UNELEVATE_26736 => C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2049\jsdrv.exe  <==== ATTENTION
Task: {708CC4D7-EB9B-4AD4-AFE7-8D4BE442AA8E} - System32\Tasks\{6B213492-C171-42A1-B01E-A67F5D32DC79} => Chrome.exe 
Task: {74CBB856-529D-4EDE-B3DE-E83E7D2836D4} - System32\Tasks\{B12E0E76-ECC8-41F9-96A3-8F9E9A7635E9} => Chrome.exe 
Task: {B03C47D5-71DA-4C48-9713-23FE74D7CDBA} - System32\Tasks\{1356CFC8-6907-46BD-A3C9-DCEDDADA7D62} => c:\users\doc\appdata\local\amigo\application\amigo.exe 
Task: {B078674F-34B0-4FED-A9A4-13336D9C0EC2} - System32\Tasks\{403D46D4-4C9E-4EA5-A117-296C8DBB1ABA} => Chrome.exe 
Task: {C1C5952A-A2A6-49A2-B609-46323A87A3C5} - System32\Tasks\{A68382A0-CBFB-41A9-916A-0FDE5483FC25} => Chrome.exe 
Task: {D1ECE2FD-A6B0-40CE-AEB1-21A5F11EA03A} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-4 -> No File <==== ATTENTION
Task: {D8A538F7-A392-41F9-ADC3-B6ED10F76B8D} - System32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6 => C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6.exe  <==== ATTENTION
Task: {E8C42C94-B076-4B55-8977-09D83384A346} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-3 -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF [1020]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
HKU\.DEFAULT\Software\Classes\exefile: "%1" %* <===== ATTENTION
HKU\.DEFAULT\Software\Classes\.exe: exefile => "%1" %* <===== ATTENTION
HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\Software\Classes\exefile: "%1" %* <===== ATTENTION
HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\Software\Classes\.exe: exefile => "%1" %* <===== ATTENTION
MSCONFIG\startupfolder: C:^Users^Doc^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk => C:\Windows\pss\crossbrowse.lnk.Startup
MSCONFIG\startupfolder: C:^Users^Doc^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^us.exe => C:\Windows\pss\us.exe.Startup
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**doc1286** · 14.05.2017, 22:30

Сделал

**Vvvyg** · 14.05.2017, 22:54

Примените в FRST такой fixlist.txt:

Код:

2017-05-13 13:03 - 2017-05-13 13:03 - 00000000 ___HD C:\ziNMUHX4MKoYj5DA
2017-05-13 00:03 - 2017-05-13 00:03 - 00000000 ___HD C:\AMZMCDlbNo5X08bf
2017-05-12 16:25 - 2017-05-13 14:09 - 00000000 ___HD C:\ProgramData\fhbvpcwwvooez875

Включите системный брандмауэр, обновляйте систему. Расшифровки нет и пока не предвидится.

Шифровальщик @WanaDecryptor@ (Trojan-Ransom.Win32.Wanna.m, Trojan-Ransom.Win32.Wanna.b) (заявка № 212008)

Опции темы