Помогите расшифровать файлы wannacash.zip

**cmagabad** · 01.12.2019, 13:12

Добрый день! После установки файла "Ключи активации на 365.zip" оказались зашифрованы почти все фотографии на компьютере. Очень большая просьба помочь в расшифровке этих файлов, фото в единственном экземпляре.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.12.2019, 13:14

Уважаемый(ая) cmagabad, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 01.12.2019, 13:39

Логов нет.
Скорее всего, случай тот же, с аналогичным результатом.

**cmagabad** · 01.12.2019, 17:21

Сообщение от Vvvyg

Логов нет.
Скорее всего, случай тот же, с аналогичным результатом.

Прикрепляю файл с отчетом.

**Vvvyg** · 01.12.2019, 21:41

Надо было начинать с логов по правилам, но и они не особо помогут. Активного шифровальщика нет, зашифрованные данные не спасти, можно лишь мусор почистить.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
BHO: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> No File
BHO: DownloadnSave Class -> {5E36452E-4C65-F501-61CF-6D815A4EB719} -> No File
Toolbar: HKLM - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} -  No File
Toolbar: HKU\S-1-5-21-3374924475-1771085804-332636559-500 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Файл зашифрован [mailru.xml].wannacash .zip [2019-11-24]
FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Файл зашифрован [rambler.xml].wannacash .zip [2019-11-24]
FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Файл зашифрован [yandex.ru-190648.xml].wannacash .zip [2019-11-24]
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM\...\Chrome\Extension: [ggfbdanegfeggdnplgalpocfhomomjpb] - <no Path/update_url>
U3 aswbdisk; no ImagePath
S3 cpuz140; \??\C:\Users\836D~1\AppData\Local\Temp\cpuz140\cpuz140_x32.sys [X] <==== ATTENTION
S3 ESETCleanersDriver; \??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys [X]
U3 JavaQuickStarterService; no ImagePath
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
S3 Synth3dVsc; no ImagePath
S3 tsusbhub; no ImagePath
S3 VGPU; no ImagePath
2019-11-30 12:30 - 2019-11-30 12:30 - 000160392 _____ C:\Windows\Minidump\113019-21484-01.dmp
2019-11-24 18:20 - 2019-11-24 18:20 - 000007518 _____ C:\Users\Администратор\Downloads\как расшифровать файлы.txt
2019-11-24 18:20 - 2019-11-24 18:20 - 000007518 _____ C:\Users\Администратор\Documents\как расшифровать файлы.txt
2019-11-24 12:08 - 2019-11-24 12:08 - 000673662 _____ C:\Windows\system32\Файл зашифрован [mlang.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000616684 _____ C:\Windows\system32\Файл зашифрован [ieapfltr.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000418612 _____ C:\Windows\system32\Файл зашифрован [FNTCACHE.DAT].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000340438 _____ C:\Windows\system32\Файл зашифрован [perfh009.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000337284 _____ C:\Windows\system32\Файл зашифрован [perfi019.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000291874 _____ C:\Windows\system32\Файл зашифрован [perfi009.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000216517 _____ C:\Windows\system32\Файл зашифрован [dssec.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000144416 _____ C:\Windows\system32\Файл зашифрован [mlfcache.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000106139 _____ C:\Windows\system32\Файл зашифрован [RacRules.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000076640 _____ C:\Windows\system32\Файл зашифрован [xpsrchvw.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000059552 _____ C:\Windows\system32\Файл зашифрован [perfh019.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000054932 _____ C:\Windows\system32\Файл зашифрован [perfc009.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000040026 _____ C:\Windows\system32\Файл зашифрован [perfd019.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000032128 _____ C:\Windows\system32\Файл зашифрован [perfd009.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000026522 _____ C:\Windows\system32\Файл зашифрован [perfc019.dat].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000022424 _____ C:\Windows\system32\Файл зашифрован [NetTrace.PLA.Diagnostics.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000011019 _____ C:\Windows\system32\Файл зашифрован [ScavengeSpace.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000005275 _____ C:\Windows\system32\Файл зашифрован [wsmanconfig_schema.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000003341 _____ C:\Windows\system32\Файл зашифрован [locationnotificationsview.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000002396 _____ C:\Windows\system32\Файл зашифрован [rasctrnm.h].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000001619 _____ C:\Windows\system32\Файл зашифрован [tcpbidi.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000001315 _____ C:\Windows\system32\Файл зашифрован [NOISE.DAT].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000001212 _____ C:\Windows\system32\Файл зашифрован [WdsUnattendTemplate.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000001153 _____ C:\Windows\system32\Файл зашифрован [NdfEventView.xml].wannacash .zip
2019-11-24 12:08 - 2019-11-24 12:08 - 000000574 _____ C:\Windows\Tasks\Файл зашифрован [SA.DAT].wannacash .zip
2019-11-24 12:07 - 2019-11-24 12:07 - 000000610 _____ C:\Windows\system32\Файл зашифрован [BD2030.DAT].wannacash .zip
2019-11-24 12:03 - 2019-11-24 12:03 - 000108048 _____ C:\Users\Администратор\Desktop\Температурные коэффициенты на 2-е полугодие 2017г..pdf
2019-11-24 12:03 - 2019-11-24 12:03 - 000000430 _____ C:\Users\Администратор\Файл зашифрован [ntuser.dat].wannacash .zip
2019-11-24 11:42 - 2019-11-24 11:42 - 001565248 _____ C:\Users\UpdatusUser\Файл зашифрован [ntuser.dat].wannacash .zip
2019-11-24 11:42 - 2019-11-24 11:42 - 000262720 _____ C:\Users\Default\Файл зашифрован [NTUSER.DAT].wannacash .zip
2019-11-24 11:42 - 2019-11-24 11:42 - 000262720 _____ C:\Users\Default User\Файл зашифрован [NTUSER.DAT].wannacash .zip
2019-11-24 11:42 - 2019-11-24 11:42 - 000113786 _____ C:\Users\Администратор\AppData\Local\Файл зашифрован [GDIPFONTCACHEV1.DAT].wannacash .zip
2019-11-24 20:39 - 2014-09-28 12:40 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\IObit
2019-11-24 20:39 - 2014-09-28 12:40 - 000000000 ____D C:\ProgramData\IObit
Task: {4EAC5A59-FC62-4EF2-A7C4-363C809CAA99} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files\AVG\AVG PC TuneUp\tuscanx.exe
Task: {8504D3A6-F146-4725-A45D-D34F948B145B} - System32\Tasks\{792A44DC-7309-41EA-A11A-0F7230B5FC3D} => C:\Program Files\Opera\opera.exe
Task: {A4829A9F-A270-4A35-AD47-B17D08B41053} - System32\Tasks\Seagate_Install_Launch => C:\Program Files\Seagate\Seagate Dashboard 2.0\Dashboard.exe
Task: {F512310D-F98D-4A14-A4C7-1B8D8ED2B52A} - System32\Tasks\Java Platform SE Auto Updater => C:\Program Files\Common Files\Java\Java Update\jusched.exe
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:708E3F13 [272]
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**cmagabad** · 02.12.2019, 19:24

Других вариантов нет спасти файлы, очень нужны фотографии?

**thyrex** · 02.12.2019, 20:03

Увы, подбор паролей под каждый файл нерационален по временным затратам

**thyrex** · 12.12.2019, 22:35

Образцы пострадавших файлов прикрепите к следующему сообщению.

Помогите расшифровать файлы wannacash.zip (заявка № 224061)

Опции темы