crylock 2.0.0.0 Помощь в расшифровке CryLock, добавляет к файлам "[blackbutterfly@startmail.com][specialr].[1EBDEC70-F7B62ABD]"

[Kurban]

Вирус поразил удаленный компьютер-сервер, источник заражения - неизвестен, все файлы заблокированы

Files.rar Addition.txt FRST.txt

[mike 1]

Цитата

Ran by Ruslan (ATTENTION: The user is not administrator) on WIN-O4QIJJSL6S3 (ASUS All Series) (14-02-2021 21:36:32)

Здравствуйте. Логи нужно делать из под учетной записи Администратора. 

[Kurban]

При попытке входа под Администратором - выдает вот это

[mike 1]

При подключении по RDP поставьте здесь галочку:

 

 

Откроется командная строка, введите taskmgr, через диспетчер задач завершите процесс Desktop Locker. 

[Kurban]

Да, тоже нашел такой способ- не могу найти вкладку "программы"

 

Фалы под Админитратором

Addition.txt FRST.txt Virus.rar

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   SystemRestore: ON
   CreateRestorePoint:
   HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [Desktop_Locker_456] => C:\Users\Администратор\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
   HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABD] => C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe [205824 2021-02-05] () [File not signed] <==== ATTENTION
   HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABDhta] => c:\users\836d~1\appdata\local\temp\how_to_decrypt.hta [6227 2021-02-13] () [File not signed] <==== ATTENTION
   virustotal: C:\Users\Администратор\Downloads\winbox.exe
   virustotal: C:\Users\Администратор\Downloads\winbox64.exe
   virustotal: C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
   C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
   zip:C:\FRST\Quarantine

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 15 февраля, 2021 пользователем mike 1

[Kurban]

Добрый день - высылаю файлы

 

Fixlog.txt

 

Архив Дата_время.zip тоже загрузил в форме

Результат загрузки

Файл сохранён как	210216_075044_16.02.2021_10.47.23_602b7954ad668.zip
Размер файла	2111
MD5	1fea882f04a5cb6819c4081228a2ce85

Файл закачан, спасибо!

[mike 1]

Цитата

==================== Accounts: =============================

Artur (S-1-5-21-3609149034-3682906053-2261658223-1007 - Limited - Enabled)
Medine (S-1-5-21-3609149034-3682906053-2261658223-1005 - Limited - Enabled)
Nadya (S-1-5-21-3609149034-3682906053-2261658223-1008 - Limited - Enabled)
Ruslan (S-1-5-21-3609149034-3682906053-2261658223-1009 - Limited - Enabled) => C:\Users\Ruslan
systembackup (S-1-5-21-3609149034-3682906053-2261658223-1010 - Administrator - Enabled)
Администратор (S-1-5-21-3609149034-3682906053-2261658223-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-3609149034-3682906053-2261658223-501 - Limited - Disabled)

Смените пароли на учетных записях на более сложные. Рекомендуется провести комплексный аудит вашей ИТ инфраструктуры во избежания рецидива. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-sozdanie-zaprosa-na-rasshifrovku-faylov-v-laboratoriyu-kasperskogo/ 

[VaPe]

Здравствуйте.

Словили по RDP такой-же шифровальщик.

Есть решение по дешифровке его?

[Sandor]

@VaPe, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

[olimax]

Добрый день, наткнулся на Вашу ветку! Скажите пожалуйста, получилось ли что с дешифратором? 

[Sandor]

@olimax, здравствуйте!

Предыдущее сообщение и к вам относится.

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи