crylock 1.9.2.1 Файлы зашифрованы [reddragon000@protonmail.ch][sel4]

17 августа, 2020

Добрый день!

14.08.2020 были зашифрованы файлы на компьютере. О проблеме узнал сегодня утром. В расширении файлов появилась надпись [reddragon000@protonmail.ch][sel4].

Просканировал систему при помощи Farbar Recovery Scan Tool, файлы отчёта ниже.

Addition.txt FRST.txt

Изменено 17 августа, 2020 пользователем Денис Горенку

17 августа, 2020

Примеры зашифрованных файлов не прикрепили. Но скорее всего расшифровки не будет.

17 августа, 2020

Вот пример файлов и файл с требованием.

2 минуты назад, thyrex сказал:

Но скорее всего расшифровки не будет

Слишком новый шифровщик?

пример_и_файл_с_требованием.zip

17 августа, 2020

Версия 1.9.2.1. Расшифровки нет.

Мусор в системе чистить будем?

18 августа, 2020

14 часов назад, thyrex сказал:

Мусор в системе чистить будем?

Да, конечно.

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

18 августа, 2020

24 минуты назад, Денис Горенку сказал:

Подскажите, а возможно ли такое, что в ближайшем будущем появится расшифровщик нужной версии, или лучше даже не ждать?

Сомнительно, что он появится без слива ключей самими злодеями.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {234D6488-6C90-487C-BD38-7E1E99B4062F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
2020-08-14 18:34 - 2020-08-14 18:34 - 000006038 _____ C:\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\Downloads\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 18:32 - 2020-08-14 18:32 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 18:31 - 2020-08-14 18:31 - 000006038 _____ C:\Users\Пользователь\Documents\how_to_decrypt.hta
2020-08-14 18:29 - 2020-08-14 18:29 - 000006038 _____ C:\Users\Пользователь\Desktop\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\Roaming\how_to_decrypt.hta
2020-08-14 18:02 - 2020-08-14 18:02 - 000006038 _____ C:\Users\Пользователь\AppData\how_to_decrypt.hta
2020-08-14 17:59 - 2020-08-14 17:59 - 000006038 _____ C:\Users\Пользователь\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:45 - 2020-08-14 17:45 - 000006038 _____ C:\Users\Пользователь\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Downloads\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Documents\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\Desktop\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Roaming\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\LocalLow\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\Local\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\Users\audit\AppData\how_to_decrypt.hta
2020-08-14 17:44 - 2020-08-14 17:44 - 000006038 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\Users\how_to_decrypt.hta
2020-08-14 17:43 - 2020-08-14 17:43 - 000006038 _____ C:\ProgramData\how_to_decrypt.htaReboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

29 сентября, 2020

Добрый день!

По RedDragon есть ли вероятность расшифровки?

Систему вылечили, лежат данные. Есть смысл подготовить логи и образцы, как описано в правилах, или без шансов? Для некоторых файлов есть нешифрованные исходники.

crylock 1.9.2.1 Файлы зашифрованы [reddragon000@protonmail.ch][sel4]

Рекомендуемые сообщения

Денис Горенку

thyrex

Денис Горенку

thyrex

Денис Горенку

thyrex

Soran

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum