Cry Lock 1.9.2.1 как очистить

[admin_nrj]

Добрый день, поймали шифровальщик, как его удалить и остановить, зашифрованные файлы восстановим из бэкапа, но вот переустанавливать виндовс на всех компах....

В конце зашифрованного файла {123}{66E2B522-95C77DC0}{1.9.2.1}{C89AFDF828888AAF3ABE125DB9E10F08}{44049208655600995988}{›P
8}{}{1}{1}{000066000079000079000084000078000088000084}{          }{bMb1}{ENCRYPTENDED}

CollectionLog-2020.05.18-13.17.zip

Изменено 18 мая, 2020 пользователем admin_nrj

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[admin_nrj]

В файле badmail как мне кажется тело шифровальщика, пароль bad

FRST64.zip Badmail_bad.rar Зашифрованный файл и требование.zip

[thyrex]

38 минут назад, admin_nrj сказал:

В файле badmai

нет там шифратора.

 

Что находится в папке C:\Users\nrj\Downloads\graf_de_malfet?

[admin_nrj]

Распакованный архив с этого форума от другого пользователя с оплаченным дешифратором. но это дешифратор для другой версии на сколько я понял.

[thyrex]

Просили дешифратор через личные сообщения? Дешифратор-то может и подошел бы, а вот ключ (или даже ключи) расшифровки точно не подошли бы.

[admin_nrj]

Нет я к ним не обращался, скачал тут

в целом информация у меня вся есть в бэкапах. Меня интересует как предотвратить работу этой дряни. чтобы история не повторилась.

[thyrex]

Сложные пароли от RDP, выход в интернет с использованием VPN, поменьше учеток с правами администратора и т.п.

[admin_nrj]

Нашёл подозрительные файлы на машине которая стала источником, думаю там сам шифровальщик, пароль body

body.rar

 

Логи с машины источника

CollectionLog-2020.05.19-13.06.zip frst.zip

[thyrex]

Файл C:\Users\Public\Documents\gr.exe Вам вряд ли известен. Там еще и его близнецы имеются. Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите по ссылке. Полученный после загрузки ответ сообщите.

 

У Вас еще похоже заражение файловым вирусом Neshta. Пролечитесь так

[admin_nrj]

Да, я понял что тут не одна зараза, комп не самый нужный и от греха подальше отформатировал винт, переустановил винду, спасибо.