Перейти к содержанию
Объявляем набор участников в Программу «Развитие сообществ клуба в мессенджерах»

Шифровальщик Crylock (тип Cryakl) [flydragon@mailfence.com][sel2auto]

GkMaxim
 Поделиться

Рекомендуемые сообщения

GkMaxim Новичок

GkMaxim

Опубликовано
Опубликовано (изменено)

Добрый день!

И мы стали жертвой Crylock (не знаю какая версия). Так понимаем, что залезло через RPD.  Буду крайне признателен за любую помощь.

Так же приложил файлы Additional и FRST с Farbar Recovery Scan Tool

how_to_decrypt.7z Luding.xls[flydragon@mailfence.com][sel2auto].[FCCE862F-9AB04C6F].7z Addition.txt FRST.txt

Изменено пользователем GkMaxim
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты
GkMaxim Новичок

GkMaxim

Опубликовано
  • Автор
Опубликовано

 

2 минуты назад, Sandor сказал:

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Жаль, будем переустановку делать. А подскажите, какая это версия cryakl?

Ссылка на комментарий
Поделиться на другие сайты
GkMaxim Новичок

GkMaxim

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

2.0.0.0

 

Пароли меняйте и прячьте за VPN.

 

А подскажите, как он распространяется?  Что необходимо сделать, чтобы такого не повторялось?

 

1 час назад, Sandor сказал:

Очистка системы от следов нужна

Какова стоимость услуги?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 часа назад, GkMaxim сказал:

Какова стоимость услуги?

Бесплатно.

 

3 часа назад, GkMaxim сказал:

Что необходимо сделать, чтобы такого не повторялось?

После очистки (если решите чистить) дам рекомендации.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-28] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-28] <==== ATTENTION
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 ____C C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:45 - 000000000 ____D C:\Users\sysanalitik\AppData\Local\PeerDistRepub
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Documents\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Desktop\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 _____ C:\Users\robot\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\Documents\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Local\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\robot\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\Documents\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\Local\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\Downloads\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 ____C C:\Users\programmist1\Desktop\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\how_to_decrypt.hta
2020-09-23 02:38 - 2020-09-23 02:38 - 000006040 ____C C:\Users\programmist1\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\programmist1\AppData\Local\Apps\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\programmist1\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Downloads\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Desktop\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\how_to_decrypt.hta
2020-09-23 02:35 - 2020-09-23 02:35 - 000006040 _____ C:\Users\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:B42C512A [240]
FirewallRules: [{3EF7D5AB-6C4B-4434-BFEF-CC9DB75204DD}] => (Allow) LPort=9000
FirewallRules: [{F4C47FC2-F88F-4046-8D0D-3B0580F3D42F}] => (Allow) LPort=9006
FirewallRules: [{3A1C4AD7-FB2D-4335-806B-B92331C918D9}] => (Allow) LPort=10502
FirewallRules: [{81A63205-A196-458D-8734-90236CD40D71}] => (Allow) LPort=10501
FirewallRules: [{184294FB-6E26-44EF-AD2E-F482C55B4E99}] => (Allow) LPort=475
FirewallRules: [{D170C5B0-5310-448C-B440-862EC4AAA5E4}] => (Allow) LPort=475
FirewallRules: [{5AAADFBF-E346-40B3-8293-8D661CDCA39C}] => (Allow) LPort=9422
FirewallRules: [{99483694-3632-46F3-A75E-291515E7C19B}] => (Allow) LPort=9245
FirewallRules: [{C3FD9F63-749C-4717-83A0-70053DA5E1D8}] => (Allow) LPort=9246
FirewallRules: [{3E3A970E-AD0B-4EB6-9D24-71DCD22B07D5}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

+

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

McAfee True Key

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      Автор Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      Автор Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • Gardens
      Помогите расшифровать файлы [darkmask@mailfence.com][auto].[D480B2A9-D7B702E4]
      Автор Gardens
      Добрый день.
      Несколько лет назад на один из пользовательских ПК попал шифровальщик,  а так как с него был выход на сетевое хранилище, в котором некоторые папки не были защищены паролем, шифратор проник и туда.
      Обращались по этому вопросу ранее, но не было дешифратора.
      Может быть теперь уже имеется возможность расшифровать? 
      GE_key-card_maket.ai[ darkmask@mailfence.com].rar
    • Luxory
      майнер или что-то типо того.
      Автор Luxory
      то ли после скачивания программы или чего-то ещё. у меня стал шуметь ноутбук в простых задачах. для большего понимания вот мои характеристики: Lenovo LegionY540-15irh i7-9750HF / GTX 1660Ti/ Windows 10 pro / он стал шуметь в простых задачах от нагрузки. которая появлялась из неоткуда. как открываю диспетчер задач. нагрузка на процессор сразу же падает до 0-5 процентов. а в играх нагрузка добавляется на 20-30 процентов. перестали открываться такие приложения как (реестр. msi afterbutner. msconfig.) и иногда во время игры открывается командная строка на миллисекунду каждые 10 секунд. что очень мешает. проводил проверки разными антивирусами. вирусы нашёл только KVRT и Malware. но они нашли всякие трояны и рекламные вирусы. т.е. мне с моей проблемой не помогли. пробовал отключать задачи в планировщике. не помогло. пробовал в командной строке 2 проверки для восстановления чего-то. они помогли лишь на время. потом снова начала вылезать командная строка в играх. первые 10 минут игры всё нормально. и после первого открытия командной строки они уже выскакивает каждые 10 секунд и исчезает. многие жаловались на процесс sihost.exe но я его пробовал отключать. так же безрезультатно. не знаю что делать. может быть проще будет переустановить ОС?
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
×
×
  • Создать...