Перейти к содержанию

Шифровальщик Crylock (тип Cryakl) [flydragon@mailfence.com][sel2auto]

GkMaxim
 Поделиться

Рекомендуемые сообщения

GkMaxim Новичок

GkMaxim

Опубликовано
Опубликовано (изменено)

Добрый день!

И мы стали жертвой Crylock (не знаю какая версия). Так понимаем, что залезло через RPD.  Буду крайне признателен за любую помощь.

Так же приложил файлы Additional и FRST с Farbar Recovery Scan Tool

how_to_decrypt.7z Luding.xls[flydragon@mailfence.com][sel2auto].[FCCE862F-9AB04C6F].7z Addition.txt FRST.txt

Изменено пользователем GkMaxim
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты
GkMaxim Новичок

GkMaxim

Опубликовано
  • Автор
Опубликовано

 

2 минуты назад, Sandor сказал:

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Жаль, будем переустановку делать. А подскажите, какая это версия cryakl?

Ссылка на комментарий
Поделиться на другие сайты
GkMaxim Новичок

GkMaxim

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

2.0.0.0

 

Пароли меняйте и прячьте за VPN.

 

А подскажите, как он распространяется?  Что необходимо сделать, чтобы такого не повторялось?

 

1 час назад, Sandor сказал:

Очистка системы от следов нужна

Какова стоимость услуги?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 часа назад, GkMaxim сказал:

Какова стоимость услуги?

Бесплатно.

 

3 часа назад, GkMaxim сказал:

Что необходимо сделать, чтобы такого не повторялось?

После очистки (если решите чистить) дам рекомендации.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-28] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-28] <==== ATTENTION
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 ____C C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:45 - 000000000 ____D C:\Users\sysanalitik\AppData\Local\PeerDistRepub
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Documents\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Desktop\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 _____ C:\Users\robot\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\Documents\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Local\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\robot\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\Documents\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\Local\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\Downloads\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 ____C C:\Users\programmist1\Desktop\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\how_to_decrypt.hta
2020-09-23 02:38 - 2020-09-23 02:38 - 000006040 ____C C:\Users\programmist1\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\programmist1\AppData\Local\Apps\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\programmist1\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Downloads\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Desktop\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\how_to_decrypt.hta
2020-09-23 02:35 - 2020-09-23 02:35 - 000006040 _____ C:\Users\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:B42C512A [240]
FirewallRules: [{3EF7D5AB-6C4B-4434-BFEF-CC9DB75204DD}] => (Allow) LPort=9000
FirewallRules: [{F4C47FC2-F88F-4046-8D0D-3B0580F3D42F}] => (Allow) LPort=9006
FirewallRules: [{3A1C4AD7-FB2D-4335-806B-B92331C918D9}] => (Allow) LPort=10502
FirewallRules: [{81A63205-A196-458D-8734-90236CD40D71}] => (Allow) LPort=10501
FirewallRules: [{184294FB-6E26-44EF-AD2E-F482C55B4E99}] => (Allow) LPort=475
FirewallRules: [{D170C5B0-5310-448C-B440-862EC4AAA5E4}] => (Allow) LPort=475
FirewallRules: [{5AAADFBF-E346-40B3-8293-8D661CDCA39C}] => (Allow) LPort=9422
FirewallRules: [{99483694-3632-46F3-A75E-291515E7C19B}] => (Allow) LPort=9245
FirewallRules: [{C3FD9F63-749C-4717-83A0-70053DA5E1D8}] => (Allow) LPort=9246
FirewallRules: [{3E3A970E-AD0B-4EB6-9D24-71DCD22B07D5}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

+

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

McAfee True Key

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...