crylock 2.0.0.0 Зашифровали файлы [honestandhope@qq.com]

5 апреля, 2021

Доброго дня, зашифровали файлы на сервере, прошу помощи в удалении шифровальщика

Documents.rar Addition.txt FRST.txt

Изменено 5 апреля, 2021 пользователем misha.dp

5 апреля, 2021

Здравствуйте!

Расшифровки этой версии нет, к сожалению.

Систему чистим или планируете переустановку?

5 апреля, 2021

Добрый день.

Чистим

Изменено 5 апреля, 2021 пользователем misha.dp

5 апреля, 2021

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
HKU\S-1-5-21-1724452032-2733404677-1963732981-1003\...\Run: [4129B77B-2C704C35hta] => c:\users\tuser3\appdata\local\temp\2\how_to_decrypt.hta [6031 2021-04-04] (Доступ не разрешён)  [Файл не подписан] <==== ВНИМАНИЕ
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\Downloads\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\Documents\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\Desktop\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\Roaming\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\LocalLow\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\Local\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\how_to_decrypt.hta
2021-04-04 19:04 - 2021-04-04 19:04 - 000000000 _____ C:\ProgramData\how_to_decrypt.hta
2021-04-04 19:02 - 2021-04-04 19:02 - 000000000 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2021-04-04 18:56 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\ऽऱएाझऴलङभहऒटसी़सऒऔऺर
2021-04-04 18:55 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\WdYMZdRiGynminzHtgRpBXpmZ
2021-04-04 18:17 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\鯯鯩鰋鰉鰏鰆鯾鯼鰈鰏鯵鯭鰐鰜鯨鯧鰈鯸鰈鰔鰍鰇鰝鰌鯻
FirewallRules: [{561C6A77-81DB-41FF-BA58-81AFE56789CF}] => (Allow) LPort=3389
FirewallRules: [{F40B5836-8728-435F-AB21-2F5C461CFAED}] => (Allow) LPort=3733
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

5 апреля, 2021

прикрепил лог

Fixlog.txt

5 апреля, 2021

Смените пароли на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

17 мая, 2021

есть сайт, dr-shifro на котором мне расшифровали файл с этим вирусом для примера. для расшифровки базы просят 200000 рублей. значит можно расшифровать этот вирус. неужели касперский не в силах это сделать ?

Изменено 18 мая, 2021 пользователем Sandor
Убрал активную ссылку

18 мая, 2021

@колян777, здравствуйте!

Во-первых, это посредники, которые связаны со злоумышленниками и берут за свои "услуги" дополнительную плату.

Во-вторых, в этом разделе вы не имеете права отвечать в чужих темах.

Закрыто.

crylock 2.0.0.0 Зашифровали файлы [honestandhope@qq.com]

Рекомендуемые сообщения

misha.dp

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

misha.dp

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

misha.dp

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

колян777

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum