crylock 2.0.0.0 Зашифровано [honestandhope@qq.com].[F10383C1-352DEC68]

13 мая, 2021

Добрый день. Помогите пожалуйста расшифровать файлы. В архиве 2.rar запакованные остатки от зловреда

13 мая, 2021

Здравствуйте!

Расшифровки скорее всего нет. Для верности пару зашифрованных файлов в архиве прикрепите к следующему сообщению.

13 мая, 2021

А вот предположительно из данного профиля пользователя зловред запускался и остались непонятные файлы, Надеюсь помогут в чем либо.

Бух-0.rar

13 мая, 2021

Непонятные файлы не нужно добавлять, только зашифрованные.

13 мая, 2021

Тут как и просили 2 документа.

doc.rar

13 мая, 2021

Да, к сожалению, это Crylock 2.0.0.0, расшифровки нет.

Помощь в очистке системы нужна или планируете переустановку?

13 мая, 2021

Еще точно не решил. На всякий случай давайте зачистим.

Тут вот товарищи из Dr.SHIFRO и decryptionlab предлагают за деньги расшифровать. Жулики?

13 мая, 2021

6 минут назад, Алескей Немыкин сказал:

Тут вот товарищи из Dr.SHIFRO и decryptionlab

Посредники, которые за ваши деньги выкупят у злоумышленника ключи с дешифратором, а потом их вам продадут по завышенной цене. При этом никаких гарантий нет, что посредники смогут до конца восстановить ваши данные, если что-то пойдёт не так.

13 мая, 2021

6 минут назад, Алескей Немыкин сказал:

Жулики?

Причем, давно известные.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
HKU\S-1-5-21-1024249536-1646588288-2451054673-1015\...\Run: [F10383C1-352DEC68] => "C:\users\-0b9b2~1\appdata\local\temp\8\svcxwp.exe" -id "F10383C1-352DEC68" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1024249536-1646588288-2451054673-1015\...\Run: [F10383C1-352DEC68hta] => c:\users\-0b9b2~1\appdata\local\temp\8\how_to_decrypt.hta <==== ВНИМАНИЕ
HKU\S-1-5-21-1024249536-1646588288-2451054673-1056\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto
2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\how_to_decrypt.hta
2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Downloads\how_to_decrypt.hta
2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Documents\how_to_decrypt.hta
2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Desktop\how_to_decrypt.hta
2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\Roaming\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\LocalLow\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\Local\Temp\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

В брандмауэре много разрешающих правил на порты. Открывали самостоятельно?

13 мая, 2021

Fixlog.txt

13 мая, 2021

На последний вопрос ответьте.

13 мая, 2021

Fixlog.txt

13 мая, 2021

Цитата

FirewallRules: [{13B728A3-9896-4F53-A559-F91075C92635}] => (Allow) LPort=5051
FirewallRules: [{368348F4-35C8-4450-A71C-65D517CBD712}] => (Allow) LPort=5900
FirewallRules: [{9F5B4774-4815-476A-B2C6-B76D8B775B3F}] => (Allow) LPort=5800
FirewallRules: [{0C813721-C9C8-4B32-93FF-C7CEB4D97E5C}] => (Allow) LPort=21
FirewallRules: [{BEDA9C9B-D065-4B6D-89CE-4ACA962E2E18}] => (Allow) LPort=20
FirewallRules: [{E6722FD6-A308-4E40-A384-D16BAAD83EFD}] => (Allow) LPort=6133
FirewallRules: [{E0E6A79F-3ABE-484F-A918-F3B82393619B}] => (Allow) LPort=6132
FirewallRules: [{FB7CEDDA-18F2-47CE-815D-F883FAE889BD}] => (Allow) LPort=443
FirewallRules: [{8863A011-EB59-4D68-B158-0A13824F760B}] => (Allow) LPort=6130
FirewallRules: [{6A0637EB-F3AA-4888-B20C-9674A51C5C86}] => (Allow) LPort=9422
FirewallRules: [{33A43468-ED40-4703-A06A-76EFBF6621B4}] => (Allow) LPort=9245
FirewallRules: [{E7C931B6-D2BC-4B8D-AE5C-BAFCBD6F3488}] => (Allow) LPort=9246
FirewallRules: [{DAC13B95-4F0A-477B-8201-614B3389DD50}] => (Allow) LPort=9247
FirewallRules: [{96AB5854-95FD-41F9-9A37-1BE5DFB7FE80}] => (Allow) LPort=9422
FirewallRules: [{7BE1DA15-1CC3-45A6-A929-278FBAC47D7C}] => (Allow) LPort=9245
FirewallRules: [{6237DAB0-B83A-41BD-8C2A-206B47C299B1}] => (Allow) LPort=9246
FirewallRules: [{B4FF4A1B-C8F0-44A0-82C8-A858532C7B58}] => (Allow) LPort=9247

Я спрашиваю об этом. Разрешения прописывали самостоятельно?

13 мая, 2021

в брадмауэре открывал самостоятельно некоторые

20,21,5900,5800 - открывал сам

13 мая, 2021

Тогда перепроверьте и лишние закройте.

Смените пароли на RDP.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

crylock 2.0.0.0 Зашифровано [honestandhope@qq.com].[F10383C1-352DEC68]

Рекомендуемые сообщения

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Алескей Немыкин

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum