crylock 2.0.0.0 Подцепил шифровальщик-вымогатель

26 сентября, 2022

Здравствуйте!

Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.

Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?

FRST.txt Addition.txt

26 сентября, 2022

Здравствуйте!

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

26 сентября, 2022

Переделал, отметив еще чек-бокс: "Файлы за 90 дней"

FRST.txt Addition.txt

38 минут назад, Sandor сказал:

Здравствуйте!

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Переделал, отметив еще чек-бокс: "Файлы за 90 дней"

FRST.txt Addition.txt

26 сентября, 2022

Про меня забыли?) я сделал то что сказали.

27 сентября, 2022

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

27 сентября, 2022

4 часа назад, Sandor сказал:

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:





Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Понял, сделал.

Fixlog.txt

27 сентября, 2022

Не нужно полностью цитировать предыдущее сообщение. Достаточно написать в нижнем поле быстрого ответа.

Сейчас отправлю личное сообщение.

27 сентября, 2022

Идет расшифровка и много уже расшифровал!!!))
Да некоторые файлы остались в зашифрованном сфайлы остались в зашифрованном состоянии.rarостоянии. Прикрепил архив с примером которые не расшифровал.

27 сентября, 2022

Хорошо, погодите минутку.

27 сентября, 2022

Спасибо большое! расшифровка идет хорошо!)👏

Осталось 73 файла которые не расшифровал.

остатки не расшифрованных файлов3.rar

27 сентября, 2022

Если не ответит коллега, я напишу завтра.

27 сентября, 2022

Хорошо, спасибо. Буду ждать

28 сентября, 2022

Ещё некоторое время подождите, пожалуйста. Что-то с этими файлами не так.

28 сентября, 2022

Проверьте ЛС.

crylock 2.0.0.0 Подцепил шифровальщик-вымогатель

Рекомендуемые сообщения

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

valentin868

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum