Перейти к содержанию
Сезон прогнозов — 2020!

Шифровальщик Crylock (тип Cryakl) [flydragon@mailfence.com][sel2auto]

GkMaxim
 Share Подписчики 1

Рекомендуемые сообщения

GkMaxim

GkMaxim 0

Опубликовано
Опубликовано (изменено)

Добрый день!

И мы стали жертвой Crylock (не знаю какая версия). Так понимаем, что залезло через RPD.  Буду крайне признателен за любую помощь.

Так же приложил файлы Additional и FRST с Farbar Recovery Scan Tool

how_to_decrypt.7z Luding.xls[flydragon@mailfence.com][sel2auto].[FCCE862F-9AB04C6F].7z Addition.txt FRST.txt

Изменено пользователем GkMaxim
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 845

Опубликовано
Опубликовано

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
GkMaxim

GkMaxim 0

Опубликовано
  • Автор
Опубликовано

 

2 минуты назад, Sandor сказал:

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Жаль, будем переустановку делать. А подскажите, какая это версия cryakl?

Ссылка на сообщение
Поделиться на другие сайты
GkMaxim

GkMaxim 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

2.0.0.0

 

Пароли меняйте и прячьте за VPN.

 

А подскажите, как он распространяется?  Что необходимо сделать, чтобы такого не повторялось?

 

1 час назад, Sandor сказал:

Очистка системы от следов нужна

Какова стоимость услуги?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 845

Опубликовано
Опубликовано
2 часа назад, GkMaxim сказал:

Какова стоимость услуги?

Бесплатно.

 

3 часа назад, GkMaxim сказал:

Что необходимо сделать, чтобы такого не повторялось?

После очистки (если решите чистить) дам рекомендации.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 845

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-28] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-28] <==== ATTENTION
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 ____C C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Downloads\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Desktop\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:45 - 000000000 ____D C:\Users\sysanalitik\AppData\Local\PeerDistRepub
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Documents\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Desktop\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 _____ C:\Users\robot\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\Documents\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Local\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\robot\how_to_decrypt.hta
2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\Documents\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\Local\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\how_to_decrypt.hta
2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\Downloads\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 ____C C:\Users\programmist1\Desktop\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\how_to_decrypt.hta
2020-09-23 02:38 - 2020-09-23 02:38 - 000006040 ____C C:\Users\programmist1\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\programmist1\AppData\Local\Apps\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\programmist1\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Downloads\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Documents\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Desktop\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Local\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\how_to_decrypt.hta
2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\LocalLow\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\Downloads\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Roaming\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Local\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\how_to_decrypt.hta
2020-09-23 02:35 - 2020-09-23 02:35 - 000006040 _____ C:\Users\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:B42C512A [240]
FirewallRules: [{3EF7D5AB-6C4B-4434-BFEF-CC9DB75204DD}] => (Allow) LPort=9000
FirewallRules: [{F4C47FC2-F88F-4046-8D0D-3B0580F3D42F}] => (Allow) LPort=9006
FirewallRules: [{3A1C4AD7-FB2D-4335-806B-B92331C918D9}] => (Allow) LPort=10502
FirewallRules: [{81A63205-A196-458D-8734-90236CD40D71}] => (Allow) LPort=10501
FirewallRules: [{184294FB-6E26-44EF-AD2E-F482C55B4E99}] => (Allow) LPort=475
FirewallRules: [{D170C5B0-5310-448C-B440-862EC4AAA5E4}] => (Allow) LPort=475
FirewallRules: [{5AAADFBF-E346-40B3-8293-8D661CDCA39C}] => (Allow) LPort=9422
FirewallRules: [{99483694-3632-46F3-A75E-291515E7C19B}] => (Allow) LPort=9245
FirewallRules: [{C3FD9F63-749C-4717-83A0-70053DA5E1D8}] => (Allow) LPort=9246
FirewallRules: [{3E3A970E-AD0B-4EB6-9D24-71DCD22B07D5}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 845

Опубликовано
Опубликовано

+

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

McAfee True Key

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Den1xxx
      Помогите с расшифровкой.
      От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • triumf1975
      Поймали [259461356@qq.com].[33938840-E437FFA7]
      От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • Андрей1998
      Вирус зашифровал данные и файлы
      От Андрей1998
      Здравствуйте!
      Не так давно поймал вирус, который зашифровал мои файлы. ОС переустанавливал с сохранением данных. Откат системы и её восстановление не катит, так как нет резервных копий...
      Пробовал скачивать ваши утилиты, но они не смогли дешифровать файлы(
      В интернете ничего про этот вирус не сказано.
      Прошу Вас, если Вы сталкивались с подобным вирусом, помогите!
      В сообщении будет архив.
      Также вирус зашифровал mp3 файл. Я переименовал файл "песня.mp3.259461356@qq.com.[430....23]" в "песня.mp3" и он открылся. С другими файлами так не сработало.
      Здесь прикреплю информацию о вирусе. Также добавлю, что все зашифрованные файлы имеют расширение e-mail и Unique ID. Например: "Картинка.jpeg.259461356@qq.com.[430....23]"Архив с паролем.rar
    • AndrewCott
      В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]
      От AndrewCott
      Доброго дня!
       
      Попались на вирус шифровальщик. Логи приложил. 
      17.11 была первая волна. 19.11 пронеслась ещё. Ещё не всё зашифровал. Помогите. 
      Спасибо. 
      Addition.txt FRST.txt Файлы злоумышленников.rar
    • Itcode
      Шифровальщик flydragon.
      От Itcode
      День добрый. Сегодня поймали шифровальщик Crylock flydragon. Можете чем-нибудь помочь?
      В файле с требованиями следующий текст: Decrypt files? Write to this mails: flydragon@mailfence.com or @assist_decoder. Telegram https://t.me/assist_decoder.
      You unique ID
       
      Атака началась ночью, часа в 2 по GMT+9. Утром зашли на сервер и увидели результат работы шифровальщика. Шифровальщик создал себе пользователя и выполнял работу из под него.
      Addition.txt FRST.txt шифр файлы.rar
×
×
  • Создать...