crylock 1.9.2.1 Файлы зашифрованы [reddragon000@protonmail.ch][sel4]

[Денис Горенку 0]

Добрый день!

14.08.2020 были зашифрованы файлы на компьютере. О проблеме узнал сегодня утром. В расширении файлов появилась надпись [reddragon000@protonmail.ch][sel4]. 

Просканировал систему при помощи Farbar Recovery Scan Tool, файлы отчёта ниже.

Addition.txt FRST.txt

Изменено 17 августа, 2020 пользователем Денис Горенку

[thyrex 1 468]

Примеры зашифрованных файлов не прикрепили. Но скорее всего расшифровки не будет.

[Денис Горенку 0]

Вот пример файлов и файл с требованием. 

 

2 минуты назад, thyrex сказал:

Но скорее всего расшифровки не будет

 

Слишком новый шифровщик? 

пример_и_файл_с_требованием.zip

[thyrex 1 468]

Версия 1.9.2.1. Расшифровки нет.

 

Мусор в системе чистить будем?

[Денис Горенку 0]

14 часов назад, thyrex сказал:

Мусор в системе чистить будем?

Да, конечно.

 

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

[thyrex 1 468]

24 минуты назад, Денис Горенку сказал:

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Сомнительно, что он появится без слива ключей самими злодеями.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {234D6488-6C90-487C-BD38-7E1E99B4062F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
2020-08-14 18:34 - 2020-08-14 18:34 - 000006038 _____ C:\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\Downloads\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 18:31 - 2020-08-14 18:31 - 000006038 _____ C:\Users\Пользователь\Documents\how_to_decrypt.hta
2020-08-14 18:29 - 2020-08-14 18:29 - 000006038 _____ C:\Users\Пользователь\Desktop\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 17:59 - 2020-08-14 17:59 - 000006038 _____ C:\Users\Пользователь\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:45 - 2020-08-14 17:45 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\ProgramData\how_to_decrypt.htaReboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Soran 0]

Добрый день!

 

По RedDragon есть ли вероятность расшифровки? 

 

Систему вылечили, лежат данные. Есть смысл подготовить логи и образцы,  как описано в правилах, или без шансов? Для некоторых файлов есть нешифрованные исходники.