Перейти к содержанию

Помощь в расшифровке CryLock, добавляет к файлам "[blackbutterfly@startmail.com][specialr].[1EBDEC70-F7B62ABD]"


Рекомендуемые сообщения

Цитата

Ran by Ruslan (ATTENTION: The user is not administrator) on WIN-O4QIJJSL6S3 (ASUS All Series) (14-02-2021 21:36:32)

Здравствуйте. Логи нужно делать из под учетной записи Администратора. 

Ссылка на комментарий
Поделиться на другие сайты

При подключении по RDP поставьте здесь галочку:

 

proxy.php?image=http%3A%2F%2Fs54.radikal

 

Откроется командная строка, введите taskmgr, через диспетчер задач завершите процесс Desktop Locker. 

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    SystemRestore: ON
    CreateRestorePoint:
    HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [Desktop_Locker_456] => C:\Users\Администратор\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
    HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABD] => C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe [205824 2021-02-05] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-3609149034-3682906053-2261658223-500\...\Run: [1EBDEC70-F7B62ABDhta] => c:\users\836d~1\appdata\local\temp\how_to_decrypt.hta [6227 2021-02-13] () [File not signed] <==== ATTENTION
    virustotal: C:\Users\Администратор\Downloads\winbox.exe
    virustotal: C:\Users\Администратор\Downloads\winbox64.exe
    virustotal: C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
    C:\Users\Администратор\AppData\Local\Temp\svcdlz.exe
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Добрый день - высылаю файлы

 

Fixlog.txt

 

Архив Дата_время.zip тоже загрузил в форме

Результат загрузки

Файл сохранён как 210216_075044_16.02.2021_10.47.23_602b7954ad668.zip
Размер файла 2111
MD5 1fea882f04a5cb6819c4081228a2ce85

Файл закачан, спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Цитата

==================== Accounts: =============================

Artur (S-1-5-21-3609149034-3682906053-2261658223-1007 - Limited - Enabled)
Medine (S-1-5-21-3609149034-3682906053-2261658223-1005 - Limited - Enabled)
Nadya (S-1-5-21-3609149034-3682906053-2261658223-1008 - Limited - Enabled)
Ruslan (S-1-5-21-3609149034-3682906053-2261658223-1009 - Limited - Enabled) => C:\Users\Ruslan
systembackup (S-1-5-21-3609149034-3682906053-2261658223-1010 - Administrator - Enabled)
Администратор (S-1-5-21-3609149034-3682906053-2261658223-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-3609149034-3682906053-2261658223-501 - Limited - Disabled)

Смените пароли на учетных записях на более сложные. Рекомендуется провести комплексный аудит вашей ИТ инфраструктуры во избежания рецидива. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-sozdanie-zaprosa-na-rasshifrovku-faylov-v-laboratoriyu-kasperskogo/ 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

@olimax, здравствуйте!

Предыдущее сообщение и к вам относится.

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Равиль.М
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • M_X
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Джо
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
×
×
  • Создать...