crylock 2.0.0.0 шифровальщик [fileraptor@protonmail.com].[1343ADAF-CE7CF15F]

[SciFi_]

Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).

все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.

 

Addition.txt FRST.txt EncryptedFiles.rar

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью Юра (ВНИМАНИЕ: Пользователь не является Администратором)

 

[SciFi_]

44 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

 

пока прошелся сканированием через kvrt и eset. Если дадите еще какие советы, буду благодарен, заранее спасибо!

archive.rar

[Sandor]

Архив с отчетом из папки C:\KVRT2020_Data прикрепите, пожалуйста.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  2022-06-14 09:01 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\how_to_decrypt.hta
  2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Downloads\how_to_decrypt.hta
  2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Desktop\how_to_decrypt.hta
  2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\LocalLow\how_to_decrypt.hta
  2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Downloads\how_to_decrypt.hta
  2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Documents\how_to_decrypt.hta
  2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\how_to_decrypt.hta
  2022-06-12 20:07 - 2022-06-12 20:07 - 000013919 _____ C:\Users\Юра\AppData\LocalLow\how_to_decrypt.hta
  2022-06-12 19:42 - 2022-06-12 19:42 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
  2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
  2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Documents\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\LocalLow\how_to_decrypt.hta
  2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2022-06-12 19:38 - 2022-06-12 19:38 - 000013919 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-06-12 19:35 - 2022-06-12 19:35 - 000013919 _____ C:\Users\how_to_decrypt.hta
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.