Перейти к содержанию

Помощь в расшифровке CryLock, добавляет к файлам "[blackbutterfly@startmail.com][specialr].[1EBDEC70-F7B62ABD]"

Kurban
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Цитата

Ran by Ruslan (ATTENTION: The user is not administrator) on WIN-O4QIJJSL6S3 (ASUS All Series) (14-02-2021 21:36:32)

Здравствуйте. Логи нужно делать из под учетной записи Администратора. 

Kurban

Kurban

Опубликовано
  • Автор
Опубликовано

При попытке входа под Администратором - выдает вот это

20210214_225442.jpg

mike 1

mike 1

Опубликовано
Опубликовано

При подключении по RDP поставьте здесь галочку:

 

proxy.php?image=http%3A%2F%2Fs54.radikal

 

Откроется командная строка, введите taskmgr, через диспетчер задач завершите процесс Desktop Locker. 

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    SystemRestore: ON
CreateRestorePoint:
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [Desktop_Locker_456] => C:\Users\Администратор\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABD] => C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe [205824 2021-02-05] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABDhta] => c:\users\836d~1\appdata\local\temp\how_to_decrypt.hta [6227 2021-02-13] () [File not signed] <==== ATTENTION
virustotal: C:\Users\Администратор\Downloads\winbox.exe
virustotal: C:\Users\Администратор\Downloads\winbox64.exe
virustotal: C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Kurban

Kurban

Опубликовано
  • Автор
Опубликовано

Добрый день - высылаю файлы

 

Fixlog.txt

 

Архив Дата_время.zip тоже загрузил в форме

Результат загрузки

Файл сохранён как 210216_075044_16.02.2021_10.47.23_602b7954ad668.zip
Размер файла 2111
MD5 1fea882f04a5cb6819c4081228a2ce85

Файл закачан, спасибо!

mike 1

mike 1

Опубликовано
Опубликовано
Цитата

==================== Accounts: =============================

Artur (S-1-5-21-3609149034-3682906053-2261658223-1007 - Limited - Enabled)
Medine (S-1-5-21-3609149034-3682906053-2261658223-1005 - Limited - Enabled)
Nadya (S-1-5-21-3609149034-3682906053-2261658223-1008 - Limited - Enabled)
Ruslan (S-1-5-21-3609149034-3682906053-2261658223-1009 - Limited - Enabled) => C:\Users\Ruslan
systembackup (S-1-5-21-3609149034-3682906053-2261658223-1010 - Administrator - Enabled)
Администратор (S-1-5-21-3609149034-3682906053-2261658223-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-3609149034-3682906053-2261658223-501 - Limited - Disabled)

Смените пароли на учетных записях на более сложные. Рекомендуется провести комплексный аудит вашей ИТ инфраструктуры во избежания рецидива. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-sozdanie-zaprosa-na-rasshifrovku-faylov-v-laboratoriyu-kasperskogo/ 

VaPe

VaPe

Опубликовано
Опубликовано

Здравствуйте.

Словили по RDP такой-же шифровальщик.

Есть решение по дешифровке его?

  • 2 недели спустя...
olimax

olimax

Опубликовано
Опубликовано

Добрый день, наткнулся на Вашу ветку! Скажите пожалуйста, получилось ли что с дешифратором? 

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • gin
      Помощь в расшифровке файлов
      Автор gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • АлексейСв
      помощь в расшифровке
      Автор АлексейСв
      доброго времени суток. кто-нибудь может помочь с расшифровкой после шифровальщика? 
×
×
  • Создать...