Перейти к содержанию
Расширяем границы! Вступаем в глобальный Kaspersky Club

Словил шифровальщика, похоже на CryLock адрес вымогателя fileraptor@protonmail.com

Vitali
 Share Подписчики 2

Рекомендуемые сообщения

Vitali

Vitali 0

Опубликовано
Опубликовано

Прошу помочь почистить систему и если есть возможность расшифровать файлы. 
Прикрепляю зашифрованный файл и файл вымогателя. 
И какие данные вам еще скинуть?
Как почистить систему? 

Ссылка на сообщение
Поделиться на другие сайты
Vitali

Vitali 0

Опубликовано
  • Автор
Опубликовано

Деньги прописью.xls[fileraptor@protonmail.com].rar Цифры прописью.xls[fileraptor@protonmail.com].rar

 

Файл вымогателя 

how_to_decrypt.rar

 

FRST64 - отчет прикрепляю. Вроде по инструкции все сделал. 
Интересует версия и есть ли от этого дешифратор?

Я так понимаю это: Trojan.Encoder.567

1.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1014

Опубликовано
Опубликовано

Скорее всего был взлом RDP, поэтому обязательно смените пароли и при использовании такого типа подключения, прячьте его за VPN. Пароль на учетную запись администратора тоже рекомендуется сменить.

 

6 часов назад, Vitali сказал:

Касперский - ничего не нашел =(

Вы ведь установили антивирус после заражения. Вот если бы он стоял до, с большой долей вероятности предположу, что этого бы не случилось.

 

 

Кое-что исправим и почистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{07AC4D19-B64F-4CBE-A495-34D1A057B66D}] => (Allow) LPort=50056
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • borekydan
      Поймал crylock 2.0
      От borekydan
      Помогите с расшифровкой файлов пожалуйста. Вечером обнаружил что файлы в каталогах пошифрованы и везде раскидан how to encrypt. RDP за впном. 
      crypted_files.rar frst.rar
      how_to_decrypt.rar
    • Asvard
      Шифровальшик [fileraptor@protonmail.com].[9264E242-0C933EA0]
      От Asvard
      Заразился windows server 2008r2, пока неизвестно по какой причине. Зашифровал на себе почти всё и куда смог дотянуться по сети к общему доступу других компьютеров.
      Во вложении так же оригинал одного из зашифрованных файлов.

      files.7z FRST_14-06-2022 13.09.50.txt Addition_14-06-2022 13.09.50.txt
    • SciFi_
      шифровальщик [fileraptor@protonmail.com].[1343ADAF-CE7CF15F]
      От SciFi_
      Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).
      все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.
       
      Addition.txt FRST.txt EncryptedFiles.rar
    • maksim gerasimov
      [hopeandhonest@smime.ninja].[00E014E0-C4900948] как расшифровать файл
      От maksim gerasimov
      поймал вирус на сервере файл зашифрован резервные копии были  на этом же компьютере.как можно расшифровать помогите 
    • Less
      Зашифрованы файлы Trojan-Ransom.Win32.Cryakl
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
×
×
  • Создать...