WANA DECRYPTOR. Как удалить?

[ValX]

WANA DECRYPTOR. Как удалить?

Здравствуйте. Внезапно появился Wana Decryptor. Как его удалить? Спасибо.

 

[prima]

Забавная вещица )
Почитал про неё на хабре.
Ну и

Единственной возможностью восстановить файлы, которые были зашифрованы вирусом — это использовать программы ShadowExplorer и PhotoRec. Как происходит восстановление зашифрованных файлов читайте в руководстве к этим программам

А удалять... Проще форматнуть. Впрочем, Вам решать.

 

[safety]

Все зависит от того какая у вас система, и перегружали ли вы систему после атаки WnCry. Для XP, Win7 есть возможность восстановить ключ шифрования и соответственно, расшифровать файлы, если не было перезагрузки системы, и не убиты процессы шифратора.
---------
если необходимо только очистить систему, то нужен образ автозапуска системы.

 

[ValX]

Все зависит от того какая у вас система, и перегружали ли вы систему после атаки WnCry. Для XP, Win7 есть возможность восстановить ключ шифрования и соответственно, расшифровать файлы, если не было перезагрузки системы, и не убиты процессы шифратора.
---------
если необходимо только очистить систему, то нужен образ автозапуска системы.

Система перезагружалась. Win7. Образ автозапуска здесь.

 

[safety]

если системы была перегружена, то ключ (и соответственно зашифрованные файлы) уже не восстановить.

образ сейчас гляну.

следов шифратора уже нет.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\FREEMAKE VIDEO CONVERTER\FREEMAKE VIDEO CONVERTER\BROWSERPLUGIN\FIREFOX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\59849229.SYS
delref %Sys32%\DRIVERS\76450080.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref E:\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PDFMASTER\PDFWRITER.EXE
delref Y:\БИЛЬЯРД-ХАУС\POOL_HOUSE.EXE
delref Y:\ALAWAR.URL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[prima]

если системы была перегружена, то ключ (и соответственно зашифрованные файлы) уже не восстановить

Как быть с этим:

Единственной возможностью восстановить файлы, которые были зашифрованы вирусом — это использовать программы ShadowExplorer и PhotoRec. Как происходит восстановление зашифрованных файлов читайте в руководстве к этим программам

 

[safety]

большинство шифраторов удаляют точки восстановления (теневые копии, если была включена защита диска)поэтому ShadowExplorer в данном случае ничего не найдет. (исключение здесь может быть если юзер работает под ограниченной учетной записью.) Восстановить из удаленных оригиналы файлов так же с большой вероятностью не получится, потому как вначале создается шифрованная копия файла, затем она перемещается на место оригинала с его перезаписью, потом меняется расширение уже шифрованного файла.

 

[ValX]

перезагрузка, пишем о старых и новых проблемах

Спасибо, сделал. Всё равно появляется заставка...
Получается, что мой Comodo Firewall прое*ал эту атаку?..
Я понял, что нахлобучились все фото, видео, аудио и книжные файлы. Вроде файлы установщиков игр и программ не тронуты. Если лечению ничего не поддаётся, может отформатировать диски? Или сразу новую винду? Что и как лучше?

 

[safety]

что делать
https://habrahabr.ru/company/cisco/blog/328598/
надо ставить патч MS-2017-010 иначе опять система будет атакована, даже если вы ее переустановите.

 

[ValX]

safety, про патч я в курсе.
Всё равно заставка не удаляется..
Винда получается не тронута и после установки патча нужно удалить все зашифрованные файлы и отформатировать диски. Такой выход?

 

[safety]

зашифрованные файлы можно сохранить на отдельный носитель, и хранить некоторое время, если есть полезная или важная информация. Возможно, через время появится в доступе ключи для расшифровки, как это уже не раз было.

форматировать ничего не надо. Надо чтобы был установлен патч.
можно отключить временно комп от сети, проверить еще раз систему тем же cureit, установить патч, и затем уже выходить в сеть.