crylock 2.0.0.0 Словил шифровальщика, похоже на CryLock адрес вымогателя fileraptor@protonmail.com

[Vitali 0]

Прошу помочь почистить систему и если есть возможность расшифровать файлы. 
Прикрепляю зашифрованный файл и файл вымогателя. 
И какие данные вам еще скинуть?
Как почистить систему? 

[Vitali 0]

Деньги прописью.xls[fileraptor@protonmail.com].rar Цифры прописью.xls[fileraptor@protonmail.com].rar

 

Файл вымогателя 

how_to_decrypt.rar

 

FRST64 - отчет прикрепляю. Вроде по инструкции все сделал. 
Интересует версия и есть ли от этого дешифратор?

Я так понимаю это: Trojan.Encoder.567

1.rar

[Sandor 1 296]

Да, это Crylock 2.0 и расшифровки нет.

 

Антивирус обновите до актуальной версии.

[Vitali 0]

Как понять откуда прилетел и все ли чисто в системе? 
Касперский - ничего не нашел =( 

[Sandor 1 296]

Скорее всего был взлом RDP, поэтому обязательно смените пароли и при использовании такого типа подключения, прячьте его за VPN. Пароль на учетную запись администратора тоже рекомендуется сменить.

 

6 часов назад, Vitali сказал:

Касперский - ничего не нашел =(

Вы ведь установили антивирус после заражения. Вот если бы он стоял до, с большой долей вероятности предположу, что этого бы не случилось.

 

 

Кое-что исправим и почистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{07AC4D19-B64F-4CBE-A495-34D1A057B66D}] => (Allow) LPort=50056
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.