Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Помогите пожалуйста расшифровать файлы. В архиве 2.rar запакованные остатки от зловреда

CryLock.jpg

FRST.txt Addition.txt 2.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки скорее всего нет. Для верности пару зашифрованных файлов в архиве прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

А вот предположительно из данного профиля пользователя зловред запускался и остались непонятные файлы, Надеюсь помогут в чем либо.

Бух-0.rar

Ссылка на сообщение
Поделиться на другие сайты

Еще точно не решил. На всякий случай давайте зачистим.

Тут вот товарищи из Dr.SHIFRO и decryptionlab предлагают за деньги расшифровать. Жулики?

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Алескей Немыкин сказал:

Тут вот товарищи из Dr.SHIFRO и decryptionlab

Посредники, которые за ваши деньги выкупят у злоумышленника ключи с дешифратором, а потом их вам продадут по завышенной цене. При этом никаких гарантий нет, что посредники смогут до конца восстановить ваши данные, если что-то пойдёт не так. 

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Алескей Немыкин сказал:

Жулики?

Причем, давно известные.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-1024249536-1646588288-2451054673-1015\...\Run: [F10383C1-352DEC68] => "C:\users\-0b9b2~1\appdata\local\temp\8\svcxwp.exe" -id "F10383C1-352DEC68" -wid "888" <==== ВНИМАНИЕ
    HKU\S-1-5-21-1024249536-1646588288-2451054673-1015\...\Run: [F10383C1-352DEC68hta] => c:\users\-0b9b2~1\appdata\local\temp\8\how_to_decrypt.hta <==== ВНИМАНИЕ
    HKU\S-1-5-21-1024249536-1646588288-2451054673-1056\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto
    2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\how_to_decrypt.hta
    2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Downloads\how_to_decrypt.hta
    2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Documents\how_to_decrypt.hta
    2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\Desktop\how_to_decrypt.hta
    2021-05-12 23:27 - 2021-05-12 23:27 - 000006029 _____ C:\Users\Бух-0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\Roaming\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\LocalLow\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\Local\Temp\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Бух-0\AppData\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
    2021-05-12 23:26 - 2021-05-12 23:26 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
    2021-05-12 23:11 - 2021-05-12 23:11 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

 

В брандмауэре много разрешающих правил на порты. Открывали самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты
Цитата

FirewallRules: [{13B728A3-9896-4F53-A559-F91075C92635}] => (Allow) LPort=5051
FirewallRules: [{368348F4-35C8-4450-A71C-65D517CBD712}] => (Allow) LPort=5900
FirewallRules: [{9F5B4774-4815-476A-B2C6-B76D8B775B3F}] => (Allow) LPort=5800
FirewallRules: [{0C813721-C9C8-4B32-93FF-C7CEB4D97E5C}] => (Allow) LPort=21
FirewallRules: [{BEDA9C9B-D065-4B6D-89CE-4ACA962E2E18}] => (Allow) LPort=20
FirewallRules: [{E6722FD6-A308-4E40-A384-D16BAAD83EFD}] => (Allow) LPort=6133
FirewallRules: [{E0E6A79F-3ABE-484F-A918-F3B82393619B}] => (Allow) LPort=6132
FirewallRules: [{FB7CEDDA-18F2-47CE-815D-F883FAE889BD}] => (Allow) LPort=443
FirewallRules: [{8863A011-EB59-4D68-B158-0A13824F760B}] => (Allow) LPort=6130
FirewallRules: [{6A0637EB-F3AA-4888-B20C-9674A51C5C86}] => (Allow) LPort=9422
FirewallRules: [{33A43468-ED40-4703-A06A-76EFBF6621B4}] => (Allow) LPort=9245
FirewallRules: [{E7C931B6-D2BC-4B8D-AE5C-BAFCBD6F3488}] => (Allow) LPort=9246
FirewallRules: [{DAC13B95-4F0A-477B-8201-614B3389DD50}] => (Allow) LPort=9247
FirewallRules: [{96AB5854-95FD-41F9-9A37-1BE5DFB7FE80}] => (Allow) LPort=9422
FirewallRules: [{7BE1DA15-1CC3-45A6-A929-278FBAC47D7C}] => (Allow) LPort=9245
FirewallRules: [{6237DAB0-B83A-41BD-8C2A-206B47C299B1}] => (Allow) LPort=9246
FirewallRules: [{B4FF4A1B-C8F0-44A0-82C8-A858532C7B58}] => (Allow) LPort=9247

 

Я спрашиваю об этом. Разрешения прописывали самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты

Тогда перепроверьте и лишние закройте.

Смените пароли на RDP.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От YarKadr
      https://cloud.mail.ru/public/1QHL/3xDkyHNFg Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.
    • От nik_koval
      компьютер был заражен трояном вида cryakl(предположительно) и зашифровал все пользовательские файлы на компьютере. каждый файл был дописан этим - [paybackformistake@qq.com].[BD72D4C5-98B51E94]
      пароль к архивам -   nik-pc
      crypted_files_and_ransom_note.zip logs_frst_addition.zip
    • От Sanchiss
      Коллеги, приветствую. Поймал шифровальщика Ransom:Win32/FileCryptor.K!MTB который зашифровал мои файлы и пару баз 1С, приписав к названию файлов [paybackformistake@qq.com].[7162CE8F-FF328F18] и разместив везде файл how_to_decrypt.hta. Подскажите как можно дешифровать свои файлы? Воспользовался несколькими нашими утилитами Касперского, но они не смогли это сделать.
       
      Сам троян работал из каталога bug (скриншот прикладываю) через RDP через существующую учётку пользователя - видно как-то увели пароль. Скриншот приложил. Образец файлов в архиве тоже.

      123.rar
    • От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
×
×
  • Создать...