crylock 2.0.0.0 [РАСШИФРОВАНО] все файлы зашифровало hopeandhonest@smime.ninja

[leon303]

Добрый день, словили вчера шифровальщика, каким способом не понятно, возможно ли что то сделать? Спасибо, очень надеюсь на помощь.

 

Addition.txtFRST.txtfiles.rar

[Sandor]

Здравствуйте!

 

Сначала чистим систему.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: F - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Servers\splash.hta *DVD*
  HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {27964c97-e85a-11e2-9cbb-4c72b998f547} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Servers\splash.hta *DVD*
  HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {3da20d9a-aa73-11e3-a1bd-4c72b998f547} - E:\HTC_Sync_Manager_PC.exe
  HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {e2e65dec-72fd-11e5-9eb3-4c72b998f547} - F:\AutoRun.exe
  HKU\S-1-5-21-1114489365-498842371-2891943435-1010\...\MountPoints2: {e2e65dec-72fd-11e5-9eb3-4c72b998f547} - F:\AutoRun.exe
  Startup: C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-01] () [Файл не подписан]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\how_to_decrypt.hta
  2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\how_to_decrypt.hta
  2022-08-01 16:26 - 2022-08-01 16:26 - 000001794 _____ C:\Users\gb\AppData\LocalLow\how_to_decrypt.hta
  2022-08-01 16:24 - 2022-08-01 16:24 - 000001794 _____ C:\Users\gb\AppData\Local\how_to_decrypt.hta
  2022-08-01 16:18 - 2022-08-01 16:18 - 000001794 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
  2022-08-01 16:18 - 2022-08-01 16:18 - 000001794 _____ C:\Users\admin\AppData\how_to_decrypt.hta
  2022-08-01 16:17 - 2022-08-01 16:17 - 000001794 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
  2022-08-01 16:15 - 2022-08-01 16:15 - 000001794 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
  2022-08-01 16:15 - 2022-08-01 16:15 - 000001794 _____ C:\Users\admin\AppData\Local\Apps\how_to_decrypt.hta
  2022-08-01 16:05 - 2022-08-01 16:05 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
  2022-08-01 16:04 - 2022-08-01 16:05 - 000374977 _____ C:\Users\mogilev3.REGUL1\Desktop\755924.xlsx
  2022-08-01 16:04 - 2022-08-01 16:05 - 000025088 _____ C:\Users\mogilev3.REGUL1\Desktop\счет 39675 (1).xls
  2022-08-01 15:48 - 2022-08-01 15:48 - 000001794 _____ C:\Users\regul\AppData\Local\how_to_decrypt.hta
  2022-08-01 15:48 - 2022-08-01 15:48 - 000001794 _____ C:\Users\regul\AppData\Local\Apps\how_to_decrypt.hta
  2022-08-01 15:06 - 2022-08-01 15:06 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [148]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
  FirewallRules: [{46C9B387-F13F-4C08-A761-050E7C102379}] => (Allow) LPort=50248
  FirewallRules: [{684D7480-2081-4307-B95E-5A7DA1139A56}] => (Allow) LPort=3389
  FirewallRules: [{1D9AB7E1-5F25-4734-B1FF-2AF567533C87}] => (Allow) LPort=3389
  FirewallRules: [{6818A7E7-CAA9-4BED-9AAA-3F7CACB7C2A8}] => (Allow) LPort=139
  FirewallRules: [{8777FA81-C296-4B74-98B1-4362E7E959ED}] => (Allow) LPort=445
  FirewallRules: [{1E3133EE-92C8-457F-8322-ADA62349C403}] => (Allow) LPort=137
  FirewallRules: [{62A54B96-D52D-46B7-BA93-B9AB7A8F213E}] => (Allow) LPort=138
  FirewallRules: [{49D45CE7-E2D7-4502-9FF3-07022FE82009}] => (Allow) LPort=9422
  FirewallRules: [{E3D6A423-AB80-4375-8BA9-9370DB7FEAF9}] => (Allow) LPort=9245
  FirewallRules: [{D98FEC1B-1457-4BEB-A5D5-5BCD7D28ADB8}] => (Allow) LPort=9246
  FirewallRules: [{9C909747-163B-45BB-91A1-31BEEE3042AE}] => (Allow) LPort=9247
  FirewallRules: [{A71D233B-8217-47F9-A411-C25FFE41E7EC}] => (Allow) LPort=3702
  FirewallRules: [{0C66D682-6BDB-48F6-8AB5-B7C54AD0A206}] => (Allow) LPort=9244
  FirewallRules: [{1C778647-A85A-4191-905B-2709AF326BAF}] => (Allow) LPort=9444
  FirewallRules: [{0FB4E1AF-3B81-4005-AB34-A0D1F652FD9E}] => (Allow) LPort=21
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[leon303]

прикрепляю файл лога

Fixlog.txt

[Sandor]

Проверьте личные сообщения.

[leon303]

частично расшифровал несколько папок, но есть которые не расшифровывает , вот пример

files2.rar

[thyrex]

Отправил ключ

[leon303]

еще остались зашифрованные, но процентов 60 восстановил !

files_3.rar

[thyrex]

Минут 5-10 обождите

[thyrex]

Отправлен

[leon303]

Восстановил все кроме двух папок , наберусь наглости еще один ключик попросить

files4.rar

[thyrex]

Любой каприз

Отправлен

[leon303]

Спасибо, все файлы расшифровал!

[thyrex]

Отлично. Не болейте больше, потому что в следующий раз так легко можно не отделаться.

[Sandor]

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.