crylock 1.5.1.0 Шифратор

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Если есть записка с требованием выкупа, её вместе с парой зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

Ждём.

Записка - один из файлов README.txt

21 января, 2019

Файлы прикрепил.

FRST.txt

Addition.txt

README.txt

21 января, 2019

вместе с парой зашифрованных файлов упакуйте в архив

Про файлы забыли.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [647840] => 647840
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Task: {3D2034D4-ECA0-4F36-8ABF-7FBE45A70E95} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

21 января, 2019

+

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Private Character Editor.lnk"           -> ["C:\Windows\system32\eudcedit.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\computer.lnk"       -> [""]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Windows Explorer.lnk"  -> ["C:\Windows\explorer.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Run.lnk"     -> [""]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Help.lnk"    -> [""]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk"    -> ["C:\Windows\system32\cmd.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\On-Screen Keyboard.lnk"      -> ["C:\Windows\system32\osk.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk"      -> ["C:\Windows\system32\narrator.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Magnify.lnk"       -> ["C:\Windows\system32\magnify.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Ease of Access.lnk"          -> ["C:\Windows\system32\control.exe"  =>> /name Microsoft.EaseOfAccessCenter]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"          -> ["C:\Windows\system32\WFS.exe"  =>> /SendTo]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk"           -> ["C:\Windows\system32\notepad.exe"]
-[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Control Panel.lnk"  -> [""]
>>> [h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"  -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  =>> -extoff]
>>> [h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"          -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]

22 января, 2019

@Sandor,

Лог и зашифрованные файлы в архиве прикрепил.

@regist,

Лог прикрепил.

Fixlog.txt

Зашифрованные файлы.zip

ClearLNK-2019.01.22_08.39.02.log

22 января, 2019

зашифрованные файлы в архиве прикрепил

Это ярлыки. Прикрепите еще парочку офисных документов или картинки.

22 января, 2019

@Sandor,

Прикрепил.

Зашифрованные файлы.zip

22 января, 2019

Увы, нашими силами не получается. Но, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Вполне вероятно там смогут помочь.

22 января, 2019

@Sandor,

Запрос им отправлен, спасибо за помощь.

22 января, 2019

Результат, пожалуйста, сообщите здесь тоже.

25 января, 2019

Пришел ответ от техподдержки:

Здравствуйте!

Исходя из полученной информации мы можем предложить Вам следующее решение:

Благодарим за ожидание!

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl.
К сожалению, на данный момент расшифровка невозможна. Однако троян шифрует только первые 50Кб каждого файла, поэтому возможно, что какие-либо сторонние утилиты смогут восстановить повреждённые файлы определённых форматов.

Также обращаем Ваше внимание, что, по нашим данным, злоумышленники могут использовать подбор паролей RDP чтобы получить доступ к машине жертвы и вручную запустить на ней шифровальщик, поэтому во избежание повторного заражения, пожалуйста, смените пароль для удалённого доступа.

Если у Вас есть дополнительные вопросы, пожалуйста, ответьте на данное сообщение, сохранив номер запроса в теме письма (INC000010076950).

Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 5 дней, запрос будет расценён как решённый или не требующий ответа и будет автоматически закрыт.

С уважением,
Служба Технической Поддержки
АО "Лаборатория Касперского"

25 января, 2019

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

crylock 1.5.1.0 Шифратор

Рекомендуемые сообщения

Отец Порфирий

Sandor

Отец Порфирий

Sandor

Отец Порфирий

Sandor

regist

Отец Порфирий

Sandor

Отец Порфирий

Sandor

Отец Порфирий

Sandor

Отец Порфирий

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum