crylock 2.0.0.0 [РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]

11 августа, 2022

Здравствуйте.

сегодня прошелся по общим дискам на сервере шифровальщик. тело вируса обнаружить не удалось. пока нет доступа к компьютеру под учёткой которого работал вирус.

пошифровал тучу нужных документов. есть ли возможность расшифровать их?

прикладываю пару файлов в архиве и отчёты Farbar'а

Спасибо!

1.zip Addition.txt FRST.txt

11 августа, 2022

Проверьте ЛС

11 августа, 2022

Здравствуйте!

Кое-что почистим:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\Programs\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\My Documents\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Desktop\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Application Data\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\All Users\Application Data\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\Programs\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\My Documents\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Desktop\how_to_decrypt.hta
2022-08-11 03:52 - 2022-08-11 03:52 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Application Data\how_to_decrypt.hta
2022-08-10 22:33 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Documents and Settings\katya\Desktop\mouselock.exe
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Многовато администраторов в системе. Желательно оставить одного и у всех сменить пароли на учётные записи.

Изменено 11 августа, 2022 пользователем Sandor

12 августа, 2022

Спасибо Огромное!

большая часть файлов удачно расшифровалась.

для второй части файлов ключ не подошел. прикрепил в архиве 2.zip пару не расшифрованных.

количество администраторов в системе сократил до 2х, сменил пароли и дополнительно порезал доступы.

Fixlog так же в приложении.

Спасибо!

Fixlog.txt 2.zip

12 августа, 2022

Отправил второй ключ.

15 августа, 2022

Спасибо большое. по итогу всё расшифровал кроме одного файла. опять ключ не подошел. но файл не особо нужен, поэтому просто удалю его.

15 августа, 2022

Проверить уязвимые места можете так:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

crylock 2.0.0.0 [РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]

Рекомендуемые сообщения

mdv 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 411

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 296

Ссылка на сообщение

Поделиться на другие сайты

mdv 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 296

Ссылка на сообщение

Поделиться на другие сайты

mdv 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 296

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum