crylock 2.0.0.0 Подцепил шифровальщик-вымогатель

[valentin868]

Здравствуйте!

Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.

Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?

FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

[valentin868]

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

 

38 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

[valentin868]

Про меня забыли?) я сделал то что сказали.

[Sandor]

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
  IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
  Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
  Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
  Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
  Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
  Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
  Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
  Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
  Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
  Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
  Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
  Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
  Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
  Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
  Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
  Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
  Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
  Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
  Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
  Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
  Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
  Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
  Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
  Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
  Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
  Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
  Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
  Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
  Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
  Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
  Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
  2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
  2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
  2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
  2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
  AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
  AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
  FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[valentin868]

4 часа назад, Sandor сказал:

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  
  
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
  IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
  Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
  Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
  Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
  Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
  Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
  Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
  Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
  Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
  Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
  Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
  Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
  Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
  Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
  Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
  Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
  Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
  Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
  Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
  Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
  Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
  Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
  Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
  Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
  Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
  Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
  Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
  Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
  Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
  Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
  Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
  2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
  2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
  2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
  2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
  2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
  2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
  AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
  AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
  FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Понял, сделал.

Fixlog.txt

[Sandor]

Не нужно полностью цитировать предыдущее сообщение. Достаточно написать в нижнем поле быстрого ответа.

 

Сейчас отправлю личное сообщение.

[valentin868]

Идет расшифровка и много уже расшифровал!!!))
Да некоторые файлы остались в зашифрованном сфайлы остались в зашифрованном состоянии.rarостоянии. Прикрепил архив с примером которые не расшифровал.

[Sandor]

Хорошо, погодите минутку.

[valentin868]

Спасибо большое! расшифровка идет хорошо!)👏

Осталось 73 файла которые не расшифровал.

остатки не расшифрованных файлов3.rar

[Sandor]

Если не ответит коллега, я напишу завтра.

[valentin868]

Хорошо, спасибо. Буду ждать

[Sandor]

Ещё некоторое время подождите, пожалуйста. Что-то с этими файлами не так.

[thyrex]

Проверьте ЛС.