Перейти к содержанию

Словил шифровальщика, похоже на CryLock адрес вымогателя fileraptor@protonmail.com


Рекомендуемые сообщения

Прошу помочь почистить систему и если есть возможность расшифровать файлы. 
Прикрепляю зашифрованный файл и файл вымогателя. 
И какие данные вам еще скинуть?
Как почистить систему? 

Ссылка на сообщение
Поделиться на другие сайты

Деньги прописью.xls[fileraptor@protonmail.com].rar Цифры прописью.xls[fileraptor@protonmail.com].rar

 

Файл вымогателя 

how_to_decrypt.rar

 

FRST64 - отчет прикрепляю. Вроде по инструкции все сделал. 
Интересует версия и есть ли от этого дешифратор?

Я так понимаю это: Trojan.Encoder.567

1.rar

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего был взлом RDP, поэтому обязательно смените пароли и при использовании такого типа подключения, прячьте его за VPN. Пароль на учетную запись администратора тоже рекомендуется сменить.

 

6 часов назад, Vitali сказал:

Касперский - ничего не нашел =(

Вы ведь установили антивирус после заражения. Вот если бы он стоял до, с большой долей вероятности предположу, что этого бы не случилось.

 

 

Кое-что исправим и почистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{07AC4D19-B64F-4CBE-A495-34D1A057B66D}] => (Allow) LPort=50056
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • xonda904009
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
    • taurus159
      От taurus159
      21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.
      Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.
       
      На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.
       
      Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.
       
      Пример файла и логи FRST прикладываю:
       
      how_to_decrypt.hta.zipFRST.zip
      encypted sample.zip
    • adventure291277
      От adventure291277
      Поймал шифровальщик Crylock 2.0.0.0 [hopeandhonest@smime.ninja]. Получил 6 терабайт зашифрованого пространства ( Там фото и видео архив семьи за 15 лет . Может можно чем-то помочь?   
      ВУЗ Поступление.rar
    • stcserg
      От stcserg
      Доброго дня.
      Прошу помочь с расшифровкой файлов от данного вымогателя. Зашифровано было в июне. Тогда же и делались логи.
      После этого компьютер стоял отключенный.
      Addition_22-06-2022 17.01.31.txt FRST_22-06-2022 17.01.31.txt Smime.Ninja.rar
    • Radmin174
      От Radmin174
      Добрый день!
      1. win10 x64
      2. Kaspersky small office Security 21.7.7.393(a)
      3. Нашёл на диске зашифрованные файлы, видимо при работе другого сисадмина был пойман шифровальщик, на тот момент не было способов дешифровки, сейчас вроде на форумах пишут что есть инструкции для этого шифрования, хотелось бы уточнить возможность расшифровки файлов.

      simple.7z
×
×
  • Создать...