Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Нужна помощь профессионалов в расшифровке файлов

rapsila
 Share Подписчики 1

Рекомендуемые сообщения

rapsila

rapsila 0

Опубликовано
Опубликовано

Добрый день. Произошло заражения компьютера вирусом-шифровальщиком. Компьютер выступал в роли файлового сервера + бухгалтерская программа. Вирус предположительно Crycl.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на компьютере.

 

Один из файлов README.txt и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

"Пофиксите" в HijackThis:

O22 - Task: \AVG\Overseer - C:\Program Files\Common Files\AVG\Overseer\overseer.exe /from_scheduler:1
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

К сожалению, помочь с расшифровкой этой версии вымогателя - не в наших силах.

 

На всякий случай при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...