Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Помощь в расшифровке CryLock, добавляет к файлам "[blackbutterfly@startmail.com][specialr].[1EBDEC70-F7B62ABD]"

Kurban
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Цитата

Ran by Ruslan (ATTENTION: The user is not administrator) on WIN-O4QIJJSL6S3 (ASUS All Series) (14-02-2021 21:36:32)

Здравствуйте. Логи нужно делать из под учетной записи Администратора. 

Kurban

Kurban

Опубликовано
  • Автор
Опубликовано

При попытке входа под Администратором - выдает вот это

20210214_225442.jpg

mike 1

mike 1

Опубликовано
Опубликовано

При подключении по RDP поставьте здесь галочку:

 

proxy.php?image=http%3A%2F%2Fs54.radikal

 

Откроется командная строка, введите taskmgr, через диспетчер задач завершите процесс Desktop Locker. 

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    SystemRestore: ON
CreateRestorePoint:
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [Desktop_Locker_456] => C:\Users\Администратор\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABD] => C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe [205824 2021-02-05] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABDhta] => c:\users\836d~1\appdata\local\temp\how_to_decrypt.hta [6227 2021-02-13] () [File not signed] <==== ATTENTION
virustotal: C:\Users\Администратор\Downloads\winbox.exe
virustotal: C:\Users\Администратор\Downloads\winbox64.exe
virustotal: C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Kurban

Kurban

Опубликовано
  • Автор
Опубликовано

Добрый день - высылаю файлы

 

Fixlog.txt

 

Архив Дата_время.zip тоже загрузил в форме

Результат загрузки

Файл сохранён как 210216_075044_16.02.2021_10.47.23_602b7954ad668.zip
Размер файла 2111
MD5 1fea882f04a5cb6819c4081228a2ce85

Файл закачан, спасибо!

mike 1

mike 1

Опубликовано
Опубликовано
Цитата

==================== Accounts: =============================

Artur (S-1-5-21-3609149034-3682906053-2261658223-1007 - Limited - Enabled)
Medine (S-1-5-21-3609149034-3682906053-2261658223-1005 - Limited - Enabled)
Nadya (S-1-5-21-3609149034-3682906053-2261658223-1008 - Limited - Enabled)
Ruslan (S-1-5-21-3609149034-3682906053-2261658223-1009 - Limited - Enabled) => C:\Users\Ruslan
systembackup (S-1-5-21-3609149034-3682906053-2261658223-1010 - Administrator - Enabled)
Администратор (S-1-5-21-3609149034-3682906053-2261658223-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-3609149034-3682906053-2261658223-501 - Limited - Disabled)

Смените пароли на учетных записях на более сложные. Рекомендуется провести комплексный аудит вашей ИТ инфраструктуры во избежания рецидива. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-sozdanie-zaprosa-na-rasshifrovku-faylov-v-laboratoriyu-kasperskogo/ 

VaPe

VaPe

Опубликовано
Опубликовано

Здравствуйте.

Словили по RDP такой-же шифровальщик.

Есть решение по дешифровке его?

  • 2 недели спустя...
olimax

olimax

Опубликовано
Опубликовано

Добрый день, наткнулся на Вашу ветку! Скажите пожалуйста, получилось ли что с дешифратором? 

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Шифровальщик extremessd@onionmail.org, требуется помощь в дешифровке
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • Евгений111
      Поймал шифровальщика
      Автор Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...