Перейти к содержанию

Шифровальщик Crylock (тип Cryakl) [flydragon@mailfence.com][sel2auto]


Рекомендуемые сообщения

Добрый день!

И мы стали жертвой Crylock (не знаю какая версия). Так понимаем, что залезло через RPD.  Буду крайне признателен за любую помощь.

Так же приложил файлы Additional и FRST с Farbar Recovery Scan Tool

how_to_decrypt.7z Luding.xls[flydragon@mailfence.com][sel2auto].[FCCE862F-9AB04C6F].7z Addition.txt FRST.txt

Изменено пользователем GkMaxim
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

 

2 минуты назад, Sandor сказал:

Здравствуйте!

 

Для этой версии нет дешифровки.

Очистка системы от следов нужна или планируете переустановку?

Жаль, будем переустановку делать. А подскажите, какая это версия cryakl?

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

2.0.0.0

 

Пароли меняйте и прячьте за VPN.

 

А подскажите, как он распространяется?  Что необходимо сделать, чтобы такого не повторялось?

 

1 час назад, Sandor сказал:

Очистка системы от следов нужна

Какова стоимость услуги?

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, GkMaxim сказал:

Какова стоимость услуги?

Бесплатно.

 

3 часа назад, GkMaxim сказал:

Что необходимо сделать, чтобы такого не повторялось?

После очистки (если решите чистить) дам рекомендации.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-28] <==== ATTENTION (Points to *.cfg file)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-28] <==== ATTENTION
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 ____C C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Downloads\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\Desktop\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:45 - 2020-09-23 02:45 - 000006040 _____ C:\Users\sysanalitik\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:45 - 000000000 ____D C:\Users\sysanalitik\AppData\Local\PeerDistRepub
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Documents\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\Desktop\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 ____C C:\Users\robot\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:44 - 2020-09-23 02:44 - 000006040 _____ C:\Users\robot\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\Documents\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\sysanalitik\AppData\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\Users\robot\how_to_decrypt.hta
    2020-09-23 02:41 - 2020-09-23 02:41 - 000000000 _____ C:\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\Documents\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 ____C C:\Users\programmist1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\Downloads\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\robot\AppData\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\how_to_decrypt.hta
    2020-09-23 02:40 - 2020-09-23 02:40 - 000000000 _____ C:\Users\programmist1\Downloads\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 ____C C:\Users\programmist1\Desktop\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:39 - 2020-09-23 02:39 - 000006040 _____ C:\Users\programmist1\AppData\how_to_decrypt.hta
    2020-09-23 02:38 - 2020-09-23 02:38 - 000006040 ____C C:\Users\programmist1\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\programmist1\AppData\Local\Apps\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\Documents\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 ____C C:\Users\maxoper2skl48\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\programmist1\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\maxoper2skl48\AppData\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Downloads\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Documents\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\Desktop\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\finist\AppData\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-09-23 02:37 - 2020-09-23 02:37 - 000006040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 ____C C:\Users\chaos\AppData\LocalLow\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\Downloads\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Roaming\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\Local\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\Users\chaos\AppData\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-09-23 02:36 - 2020-09-23 02:36 - 000006040 _____ C:\ProgramData\how_to_decrypt.hta
    2020-09-23 02:35 - 2020-09-23 02:35 - 000006040 _____ C:\Users\how_to_decrypt.hta
    AlternateDataStreams: C:\ProgramData\TEMP:B42C512A [240]
    FirewallRules: [{3EF7D5AB-6C4B-4434-BFEF-CC9DB75204DD}] => (Allow) LPort=9000
    FirewallRules: [{F4C47FC2-F88F-4046-8D0D-3B0580F3D42F}] => (Allow) LPort=9006
    FirewallRules: [{3A1C4AD7-FB2D-4335-806B-B92331C918D9}] => (Allow) LPort=10502
    FirewallRules: [{81A63205-A196-458D-8734-90236CD40D71}] => (Allow) LPort=10501
    FirewallRules: [{184294FB-6E26-44EF-AD2E-F482C55B4E99}] => (Allow) LPort=475
    FirewallRules: [{D170C5B0-5310-448C-B440-862EC4AAA5E4}] => (Allow) LPort=475
    FirewallRules: [{5AAADFBF-E346-40B3-8293-8D661CDCA39C}] => (Allow) LPort=9422
    FirewallRules: [{99483694-3632-46F3-A75E-291515E7C19B}] => (Allow) LPort=9245
    FirewallRules: [{C3FD9F63-749C-4717-83A0-70053DA5E1D8}] => (Allow) LPort=9246
    FirewallRules: [{3E3A970E-AD0B-4EB6-9D24-71DCD22B07D5}] => (Allow) LPort=9247
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

+

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

McAfee True Key

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Evg1066
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...