crylock 2.0.0.0 + loki Шифровальщик [luisgreen@onionmail.org].[700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A]

[DanStriker 0]

Система была переустановлена. На тот момент не было действующей антивирусной программы. Файл с требованиями тоже зашифрован, другого нет. Есть ещё файлы с расширением [F304CEB2-FF3F0B5A] от того же шифровальщика, также приложил в архиве.

FRST.txt Addition.txt Files.rar

[thyrex 1353]

Каким образом с разницей почти в год Вы умудрились попасть на один и тот же шифровальщик?

 

А еще чудесным образом 2 августа попали и на шифровальщик Loki.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat
File: C:\ProgramData\winlogon.exe
File: C:\Users\Buh\Desktop\._cache_AccountRestore.exe
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-07-31] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-08-02] () [Файл не подписан]
2022-08-02 00:45 - 2022-08-02 00:45 - 000029184 ___SH C:\ProgramData\rjfrkkzf.exe
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2022-08-02 00:44 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\Users\Buh\AppData\Roaming\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  
  

 

[DanStriker 0]

Никто не занимался безопасностью. Они всё до последнего ждали

Fixlog.txt

[thyrex 1353]

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

28 минут назад, DanStriker сказал:

Никто не занимался безопасностью. Они всё до последнего ждали

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

[DanStriker 0]

С директором

[DanStriker 0]

22 часа назад, thyrex сказал:

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Есть возможность расшифровать данные?

[thyrex 1353]

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

[DanStriker 0]

1 час назад, thyrex сказал:

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

Год назад просил сначала 500$ после того как перевели ему эту сумму попросил ещё 350$ и потом пропал. В в этот раз, почти сразу после зашифровки данных, с нами связался парень, который предлагал услуги расшифровки и просил по 3000 руб. за каждое действие, у него получилось расшифровать несколько файлов, но в итоге скинул дешифратор который не подошел и мы перестали с ним общаться

[thyrex 1353]

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои  Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

[DanStriker 0]

33 минуты назад, thyrex сказал:

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои  Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Попробовал сделать расшифровку файлов с разными расширениями и ни один не расшифровался, на loki пишет not encrypted а на [700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A] not valid password

[thyrex 1353]

28 минут назад, DanStriker сказал:

на loki пишет not encrypted

Расшифровки Loki нет.

 

Повторно отправил ключи.

[DanStriker 0]

17 часов назад, thyrex сказал:

Расшифровки Loki нет.

 

Повторно отправил ключи.

Спасибо всё расшифровывает, но только почему-то на диске C. На других дисках не расшифровывает до тех пор пока не переместишь их на C

[thyrex 1353]

Без понятия в чем может быть причина. Никакой зависимости от положения файлов быть не должно.