WanaDecryptor шифрует в WNCRY

@jutmost · Регистрация: 31.12.2015

Студворк — интернет-сервис помощи студентам

Доброго времени суток уважаемые, обращаюсь к вам с помощью, когда-то давно мне очень помогли здешнии магистры)

В общем где-то только что словил вирус, называет себя WanaDecrypt0r, шифрует все файлы в WNCRY, по поиску видел, что кто -то обратился 3 часа назад с такой же темой на касперском, возможно что-то новое -_-

Поставил какой-то SpyHanter по первой ссылке в гугле, и понял, что зря.

сейчас прикреплю лог

@jutmost · 12.05.2017, 14:18 **[ТС]**

Прошу прощения, я не могу прикрепить лог, так как AVZ зависает намертво на шаге показанном на скриншоте, возможно вы сможете что-то подсказать, а я пока повторю и буду ждать лога

@Sandor · 12.05.2017, 14:51

Здравствуйте!

До запуска Автологгера отключите антивирус и закройте все запущенные программы. Пробуйте еще раз.

@jutmost · 12.05.2017, 15:58 **[ТС]**

Были некоторые мучения, в общем я нашел сам вирус в диспетчере, закрыл, все прошло удачно и быстро. Но при отправке лога вам, я увидел, что архив с логами уже заражен, вам такой скидывать?

@jutmost · 12.05.2017, 16:05 **[ТС]**

Это нормальный архив, видимо вирус проходит туда, куда я захожу через проводник

@shestale · 12.05.2017, 18:21

R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Internet Settings,ProxyServer = socks=127.0.0.1:9050

В настройках IE этот прокси-сервер сами прописали?
+
Внимание! Рекомендации написаны специально для jutmost. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('C:\Users\MaZaHaKa\AppData\Roaming\Wwkike.exe', '');
 DeleteFile('c:\windows\mssecsvc.exe', '32');
 DeleteFile('C:\Users\MaZaHaKa\AppData\Roaming\Wwkike.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Wwkike','command');
 DeleteService('mssecsvc2.0');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Подготовьте новый CollectionLog.
Подготовьте лог AdwCleaner.

@jutmost · 13.05.2017, 14:39 **[ТС]**

Извиняюсь за молчание, проблема была массовой, решение от Лабы Касперского:

Рекомендации по лечению:

- Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

По расшифровке файлов пока ничего нет.

Добавлено через 15 часов 33 минуты
Хотелось бы указать еще источник, если можно, для пользователей которые вдруг попадут на эту тему:
https://forum.kasperskyclub.ru... 543&page=1

@shestale · 13.05.2017, 18:07

jutmost, этот раздел для оказания помощи в удалении малвари, а не про "поговорить".
Если лечение вам не нужно, тему закроем.

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: показать затраченные материалы за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В качестве. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

@jutmost 0 / 0 / 0 Регистрация: 31.12.2015 Сообщений: 14

	WanaDecryptor шифрует в WNCRY 12.05.2017, 13:46. Показов 12843. Ответов 7 Метки нет (Все метки) Доброго времени суток уважаемые, обращаюсь к вам с помощью, когда-то давно мне очень помогли здешнии магистры) В общем где-то только что словил вирус, называет себя WanaDecrypt0r, шифрует все файлы в WNCRY, по поиску видел, что кто -то обратился 3 часа назад с такой же темой на касперском, возможно что-то новое -_- Поставил какой-то SpyHanter по первой ссылке в гугле, и понял, что зря. сейчас прикреплю лог 0

@jutmost 0 / 0 / 0 Регистрация: 31.12.2015 Сообщений: 14
	12.05.2017, 14:18 [ТС]
	Прошу прощения, я не могу прикрепить лог, так как AVZ зависает намертво на шаге показанном на скриншоте, возможно вы сможете что-то подсказать, а я пока повторю и буду ждать лога Миниатюры 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,978
	12.05.2017, 14:51
	Здравствуйте! До запуска Автологгера отключите антивирус и закройте все запущенные программы. Пробуйте еще раз. 0

@jutmost 0 / 0 / 0 Регистрация: 31.12.2015 Сообщений: 14
	12.05.2017, 15:58 [ТС]
	Были некоторые мучения, в общем я нашел сам вирус в диспетчере, закрыл, все прошло удачно и быстро. Но при отправке лога вам, я увидел, что архив с логами уже заражен, вам такой скидывать? 0

@jutmost 0 / 0 / 0 Регистрация: 31.12.2015 Сообщений: 14
	13.05.2017, 14:39 [ТС]
	Извиняюсь за молчание, проблема была массовой, решение от Лабы Касперского: Рекомендации по лечению: - Убедитесь, что включили решения безопасности. - Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке. - Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы». - Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010. По расшифровке файлов пока ничего нет. Добавлено через 15 часов 33 минуты Хотелось бы указать еще источник, если можно, для пользователей которые вдруг попадут на эту тему: https://forum.kasperskyclub.ru... 543&page=1 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.05.2017, 18:07
	jutmost, этот раздел для оказания помощи в удалении малвари, а не про "поговорить". Если лечение вам не нужно, тему закроем. 2