Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Нужна помощь профессионалов в расшифровке файлов

rapsila
 Поделиться

Рекомендуемые сообщения

rapsila

rapsila

Опубликовано
Опубликовано

Добрый день. Произошло заражения компьютера вирусом-шифровальщиком. Компьютер выступал в роли файлового сервера + бухгалтерская программа. Вирус предположительно Crycl.

rapsila

rapsila

Опубликовано
  • Автор
Опубликовано

Здравствуйте, пожалуйста подробнее, что не так....


Вроде, всё делал по пунктам

Sandor

Sandor

Опубликовано
Опубликовано

всё делал по пунктам

Если вы сделали пункт 2, то ждём полученный в результате архив CollectionLog.
Sandor

Sandor

Опубликовано
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на компьютере.

 

Один из файлов README.txt и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

"Пофиксите" в HijackThis:

O22 - Task: \AVG\Overseer - C:\Program Files\Common Files\AVG\Overseer\overseer.exe /from_scheduler:1
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

К сожалению, помочь с расшифровкой этой версии вымогателя - не в наших силах.

 

На всякий случай при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...