crylock 1.9.0.0 [РАСШИФРОВАНО] Пойман Trojan-Ransom.Win32.Cryakl

[1t3q]

Добрый день! В апреле поймали Trojan-Ransom.Win32.Cryakl ([reddragon3335799@protonmail.ch][sel4].[17676B01-CDA0675C]) на компьютере.

Логи приложил от сегодняшнего числа.

CollectionLog-2020.07.06-11.31.zip

[Sandor]

Здравствуйте!

 

Тема перенесена. Прочтите и выполните немного другой Порядок оформления запроса о помощи для этого раздела.

[1t3q]

Прикладываю логи анализа системы при помощи Farbar Recovery Scan Tool.

и архив с двумя файлами и сообщением. 

Addition.txt FRST.txt архив.docx[reddragon3335799@protonmail.ch][sel4].zip

[Sandor]

К сожалению, эта версия вымогателя не поддается расшифровке.

 

SpyHunter4 деинсталлируйте как нежелательное ПО.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[1t3q]

Как можно определить мою проблему(версия вируса), чтобы была возможность мониторить расшифровку?

 

 

SecurityCheck.txt

[Sandor]

Версия crylock 1.9.2.1

 

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.719.18362.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 13.8.2 Basic v.13.8.2 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.4.4445 Внимание! Скачать обновления
Microsoft Office Single Image 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
 

 

Пароль на RDP смените и спрячьте за VPN.

Читайте Рекомендации после удаления вредоносного ПО

[1t3q]

Спасибо. 
На данном компьютере будет полная переустановка системы.

Пароль сменил и отключил доступ по rdp почти сразу после вируса.

[Sandor]

Необходимости переустановки нет, вымогатель само-удалился и в логах его следов нет. Но если хотите - ваше право.

[1t3q]

Тогда может подскажете, нет ли утилиты для чистки от зашифрованных файлов и сообщения-вымогателя ?

[Sandor]

Переделайте лог FRST.txt, предварительно отметив галочкой позицию "90 days files".

 

Или используйте эту утилиту - https://www.bleepingcomputer.com/forums/t/617257/ransomnotecleaner-remove-ransom-notes-left-behind/

[thyrex]

1 час назад, Sandor сказал:

К сожалению, эта версия вымогателя не поддается расшифровке.

В апреле еще разгуливала версия 1.9.0.0

 

Расшифрованные файлы https://dropmefiles.com/oHBWR

 

[1t3q]

@thyrex, а возможно получить дешифратор? Просто есть немалое количество файлов, которое хотелось бы восстановить.

[thyrex]

Проверьте ЛС.

[1t3q]

Все получилось расшифровать, благодаря @thyrex! Спасибо

Были проблемы с некоторыми файлами, но они решились удалением в названии файла того, что приписал вирус, как было сказано @thyrex