Перейти к содержанию

Шифровальщик Crylock (тип Cryakl) [flydragon@mailfence.com][sel2auto]


Рекомендуемые сообщения

Добрый день!

И мы стали жертвой Crylock (не знаю какая версия). Так понимаем, что залезло через RPD.  Буду крайне признателен за любую помощь.

Так же приложил файлы Additional и FRST с Farbar Recovery Scan Tool

how_to_decrypt.7z Luding.xls[flydragon@mailfence.com][sel2auto].[FCCE862F-9AB04C6F].7z Addition.txt FRST.txt

Изменено пользователем GkMaxim
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

 

2 минуты назад, Sandor сказал:

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Жаль, будем переустановку делать. А подскажите, какая это версия cryakl?

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

2.0.0.0

 

Пароли меняйте и прячьте за VPN.

 

А подскажите, как он распространяется?  Что необходимо сделать, чтобы такого не повторялось?

 

1 час назад, Sandor сказал:

Очистка системы от следов нужна

Какова стоимость услуги?

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, GkMaxim сказал:

Какова стоимость услуги?

Бесплатно.

 

3 часа назад, GkMaxim сказал:

Что необходимо сделать, чтобы такого не повторялось?

После очистки (если решите чистить) дам рекомендации.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-28] <==== ATTENTION (Points to *.cfg file)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-28] <==== ATTENTION
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 ____C C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Downloads\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Desktop\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:45 - 000000000 ____D C:\Users\sysanalitik\AppData\Local\PeerDistRepub
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Documents\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Desktop\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 _____ C:\Users\robot\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\Documents\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\robot\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\Documents\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\Downloads\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\Downloads\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 ____C C:\Users\programmist1\Desktop\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\how_to_decrypt.hta
    2020-09-23 02:38 - 2020-09-23 02:38 - 000006040 ____C C:\Users\programmist1\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\programmist1\AppData\Local\Apps\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\Documents\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\programmist1\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Downloads\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Documents\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Desktop\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\how_to_decrypt.hta
    2020-09-23 02:35 - 2020-09-23 02:35 - 000006040 _____ C:\Users\how_to_decrypt.hta
    AlternateDataStreams: C:\ProgramData\TEMP:B42C512A [240]
    FirewallRules: [{3EF7D5AB-6C4B-4434-BFEF-CC9DB75204DD}] => (Allow) LPort=9000
    FirewallRules: [{F4C47FC2-F88F-4046-8D0D-3B0580F3D42F}] => (Allow) LPort=9006
    FirewallRules: [{3A1C4AD7-FB2D-4335-806B-B92331C918D9}] => (Allow) LPort=10502
    FirewallRules: [{81A63205-A196-458D-8734-90236CD40D71}] => (Allow) LPort=10501
    FirewallRules: [{184294FB-6E26-44EF-AD2E-F482C55B4E99}] => (Allow) LPort=475
    FirewallRules: [{D170C5B0-5310-448C-B440-862EC4AAA5E4}] => (Allow) LPort=475
    FirewallRules: [{5AAADFBF-E346-40B3-8293-8D661CDCA39C}] => (Allow) LPort=9422
    FirewallRules: [{99483694-3632-46F3-A75E-291515E7C19B}] => (Allow) LPort=9245
    FirewallRules: [{C3FD9F63-749C-4717-83A0-70053DA5E1D8}] => (Allow) LPort=9246
    FirewallRules: [{3E3A970E-AD0B-4EB6-9D24-71DCD22B07D5}] => (Allow) LPort=9247
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

+

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

McAfee True Key

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • От Андрей1998
      Здравствуйте!
      Не так давно поймал вирус, который зашифровал мои файлы. ОС переустанавливал с сохранением данных. Откат системы и её восстановление не катит, так как нет резервных копий...
      Пробовал скачивать ваши утилиты, но они не смогли дешифровать файлы(
      В интернете ничего про этот вирус не сказано.
      Прошу Вас, если Вы сталкивались с подобным вирусом, помогите!
      В сообщении будет архив.
      Также вирус зашифровал mp3 файл. Я переименовал файл "песня.mp3.259461356@qq.com.[430....23]" в "песня.mp3" и он открылся. С другими файлами так не сработало.
      Здесь прикреплю информацию о вирусе. Также добавлю, что все зашифрованные файлы имеют расширение e-mail и Unique ID. Например: "Картинка.jpeg.259461356@qq.com.[430....23]"Архив с паролем.rar
    • От AndrewCott
      Доброго дня!
       
      Попались на вирус шифровальщик. Логи приложил. 
      17.11 была первая волна. 19.11 пронеслась ещё. Ещё не всё зашифровал. Помогите. 
      Спасибо. 
      Addition.txt FRST.txt Файлы злоумышленников.rar
    • От Itcode
      День добрый. Сегодня поймали шифровальщик Crylock flydragon. Можете чем-нибудь помочь?
      В файле с требованиями следующий текст: Decrypt files? Write to this mails: flydragon@mailfence.com or @assist_decoder. Telegram https://t.me/assist_decoder.
      You unique ID
       
      Атака началась ночью, часа в 2 по GMT+9. Утром зашли на сервер и увидели результат работы шифровальщика. Шифровальщик создал себе пользователя и выполнял работу из под него.
      Addition.txt FRST.txt шифр файлы.rar
×
×
  • Создать...