Перейти к содержимому


Фотография
- - - - -

Нужна помощь профессионалов в расшифровке файлов

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 OFF   rapsila

rapsila

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 19 Ноябрь 2019 - 15:28

Добрый день. Произошло заражения компьютера вирусом-шифровальщиком. Компьютер выступал в роли файлового сервера + бухгалтерская программа. Вирус предположительно Crycl.


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 947

Отправлено 19 Ноябрь 2019 - 15:32

Здравствуйте,

«Порядок оформления запроса о помощи».


  • 0

#3 OFF   rapsila

rapsila

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 20 Ноябрь 2019 - 08:29

Здравствуйте, пожалуйста подробнее, что не так....


Вроде, всё делал по пунктам


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 20 Ноябрь 2019 - 09:23

всё делал по пунктам

Если вы сделали пункт 2, то ждём полученный в результате архив CollectionLog.
  • 0
Изображение

#5 OFF   rapsila

rapsila

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 20 Ноябрь 2019 - 10:07

Прошу прощения. Добавлять пытался))

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 20 Ноябрь 2019 - 10:14

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на компьютере.

Один из файлов README.txt и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.
  • 0
Изображение

#7 OFF   rapsila

rapsila

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 20 Ноябрь 2019 - 11:52

Сделано


ещё раз

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 239

Отправлено 20 Ноябрь 2019 - 11:59

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.



"Пофиксите" в HijackThis:
O22 - Task: \AVG\Overseer - C:\Program Files\Common Files\AVG\Overseer\overseer.exe /from_scheduler:1
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

К сожалению, помочь с расшифровкой этой версии вымогателя - не в наших силах.

На всякий случай при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Сообщение отредактировал Sandor: 20 Ноябрь 2019 - 11:59

  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных