crylock 2.0.0.0 Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.

[Vol2022]

Доброго времени суток!

Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]

 

Помогите пожалуйста, что делать?

Вирус пока сам не лечил не чем, windows не переустанавливал. 

Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?

файлы docx.rar

[thyrex]

2 часа назад, Vol2022 сказал:

Вирус пока сам не лечил не чем, windows не переустанавливал. 

А если вирус жив, тогда файлы зашифруются повторно.Поэтому возвращайте диск обратно и собирайте логи по правилам раздела. После этого будем продолжать с расшифровкой.

[Vol2022]

Добрый день! Сделал все по инструкции создал файл логи через Farbar Recovery Scan Tool, прикладываю к сообщению. 

Вирус этот поймал, когда открыл порт 3389, для удаленного подключения к компьютеру. 

При загрузке компьютера выходит Сообщение Decrypt files? Write to this mails: hopeandhonest@smime.ninja 

Во вложении отправил файлы в виде архива где отдельно зашифрованные файлы и отдельно оригиналы до шифрования вирусом.

 

Спасибо, надеюсь что все сделал правильно.

 

 

Addition.txt FRST.txt Зашифрованные файлы.rar Записка о выкупе виде файла.rar Файлы оригиналы до шифрования.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\VwV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-2051328108-2196728158-184226881-1000\...\Run: [F330F9A3-4436E9D5hta] => C:\Users\VwV\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-13] () [Файл не подписан] <==== ВНИМАНИЕ
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-07-13 16:15 - 2022-07-13 16:15 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-13 16:14 - 2022-07-13 16:14 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\Microsoft\how_to_decrypt.hta
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Vol2022]

Добрый день! Сделал все как вы сказали. Лог прикрепил к сообщению.

Для информации:

- на рабочем столе приложение mouselock.exe Скорее всего это вирус, если нужно прикрепить его потом, скажите пожалуйста.

- еще появился диск А где лежит файл с названием how_to_decrypt.hta

 

 

Fixlog.txt

[thyrex]

Проверьте ЛС.

[Vol2022]

Файлы теперь дешифруются и открываются. Спасибо большое за помощь, вы настоящие спасители!

Подскажите пожалуйста, а сам вирус как удалить?
Есть ли способ удалить файл how_to_decrypt.hta который лежит во всех папках и подпапках?

И могли бы дать рекомендации, чтобы избежать в будущем как не словить  вирус-шифровальщик, может есть какое-нибудь антивирусное решение?

 

Заранее спасибо!

 

[thyrex]

Вы для начала дождитесь полного окончания расшифровки. Могут понадобиться и другие ключи.

 

Если файлы с сообщениями злодеев находятся в папках с зашифрованными файлами, то их удаляет сам дешифратор.

 

Любой антивирус - это по сути сторож на охраняемом объекте. А что бывает на таких объектах в реальной жизни, думаю, Вам хорошо известно. Попали к Вам скорее всего через RDP. Закрывайте дыру.

[Vol2022]

Здравствуйте! 

Как вы и говорили, что может потребоваться еще ключ для дешифриванию др. файлов. Проверил др диск, есть много файлов которые еще зашифрованы. Прилагаю к письму некоторые из файлов, посмотрите пожалуйста 

Зашифрованные файла ч2.rar

[thyrex]

Отправил

[Vol2022]

Я извиняюсь, до проверил остальные диски не все файлы вылечил. Могли бы прислать пожалуйста еще ключи? Я сам не смогу их генерировать?

Я вложил еще папку Admin.zip, это хранится почему-то на одном диске под названием Зарезервировано системой, который я не создавал, думаю там исходник вируса. Мне все это удалить? (ничего не запускал от туда.)

20200328_213936_001.jpg[hopeandhonest@smime.ninja].rar IMG-20190301-WA0000.jpg[hopeandhonest@smime.ninja].rar WPI_Log_2019.01.02_21.55.41.txt[hopeandhonest@smime.ninja].rar sms_notification_ru.pdf[hopeandhonest@smime.ninja].rar Admin.rar