Перейти к содержанию
Викторина по Kaspersky Internet Security 2021
Задай вопрос Екатерине Логиновой!

Помощь в расшифровке CryLock, добавляет к файлам "[blackbutterfly@startmail.com][specialr].[1EBDEC70-F7B62ABD]"

Kurban
 Share Подписчики 2

Рекомендуемые сообщения

mike 1

mike 1 987

Опубликовано
Опубликовано
Цитата

Ran by Ruslan (ATTENTION: The user is not administrator) on WIN-O4QIJJSL6S3 (ASUS All Series) (14-02-2021 21:36:32)

Здравствуйте. Логи нужно делать из под учетной записи Администратора. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

При подключении по RDP поставьте здесь галочку:

 

proxy.php?image=http%3A%2F%2Fs54.radikal

 

Откроется командная строка, введите taskmgr, через диспетчер задач завершите процесс Desktop Locker. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    SystemRestore: ON
CreateRestorePoint:
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [Desktop_Locker_456] => C:\Users\Администратор\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABD] => C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe [205824 2021-02-05] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABDhta] => c:\users\836d~1\appdata\local\temp\how_to_decrypt.hta [6227 2021-02-13] () [File not signed] <==== ATTENTION
virustotal: C:\Users\Администратор\Downloads\winbox.exe
virustotal: C:\Users\Администратор\Downloads\winbox64.exe
virustotal: C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Kurban

Kurban 0

Опубликовано
  • Автор
Опубликовано

Добрый день - высылаю файлы

 

Fixlog.txt

 

Архив Дата_время.zip тоже загрузил в форме

Результат загрузки

Файл сохранён как 210216_075044_16.02.2021_10.47.23_602b7954ad668.zip
Размер файла 2111
MD5 1fea882f04a5cb6819c4081228a2ce85

Файл закачан, спасибо!

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано
Цитата

==================== Accounts: =============================

Artur (S-1-5-21-3609149034-3682906053-2261658223-1007 - Limited - Enabled)
Medine (S-1-5-21-3609149034-3682906053-2261658223-1005 - Limited - Enabled)
Nadya (S-1-5-21-3609149034-3682906053-2261658223-1008 - Limited - Enabled)
Ruslan (S-1-5-21-3609149034-3682906053-2261658223-1009 - Limited - Enabled) => C:\Users\Ruslan
systembackup (S-1-5-21-3609149034-3682906053-2261658223-1010 - Administrator - Enabled)
Администратор (S-1-5-21-3609149034-3682906053-2261658223-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-3609149034-3682906053-2261658223-501 - Limited - Disabled)

Смените пароли на учетных записях на более сложные. Рекомендуется провести комплексный аудит вашей ИТ инфраструктуры во избежания рецидива. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-sozdanie-zaprosa-na-rasshifrovku-faylov-v-laboratoriyu-kasperskogo/ 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 891

Опубликовано
Опубликовано

@olimax, здравствуйте!

Предыдущее сообщение и к вам относится.

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • asdf33
      Поймали шифровальщика Trojan-Ransom.Win32.Cryakl.gen зашифрованы файлы
      От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • _oleg77_
      Шифровальщик Crylock зашифровал файлы
      От _oleg77_
      Virus.rarТроян зашифровал все файлы.
       
      Addition.txt Files.rar FRST.txt
    • kostia7alania
      Шифровальщик Crylock зашифровал все диски. Вымогатели требуют выкуп $3k. Взломали через брутфорс RDP.
      От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar
    • DimmON77
      Поймал шифровальщика 2021-04-23
      От DimmON77
      Здравствуйте.
      Поймал шифровальщика на рабочем компьютере (если не ошибаюсь, это произошло 2021-04-23).
      Как только увидел зашифрованные файлы в рабочей папке - сразу выключил компьютер.
      Логи Farbar Recovery Scan Tool были сделаны когда компьютер загружен с флешки с windows pe. 
      Очень надеюсь на помочь в расшифровке.Лог Farbar Recovery Scan Tool и зашифрованные файлы.7z
    • Sergody
      Зашифровали файлы honestandhope@qq.com
      От Sergody
      Добрый день, ситуация такая: Есть отдельный серверный комп, вчера когда к нему подключился увидел кучу открытых окон, реестр, какие то текстовые файлы и сразу запаниковав перезагрузил его после запуска компьютера увидел нового пользователя, мой аккаунт с правами администратора стал недоступен, возможность зайти в систему была только через другого пользователя с обычными правами и там уже обнаружил что файлы закодированы. Как и где подхватить не знаю. 
      Addition.txt FRST.txt Зашифрованные файлы и записка.rar
×
×
  • Создать...