crylock 2.0.0.0 Зашифровали файлы [honestandhope@qq.com]

8 июня, 2021

вчера по удаленке залили шифровальщик, помогите , переустановка системы не возможно , нужно удалить и дешифровать

8 июня, 2021

Здравствуйте!

К сожалению, расшифровки этой версии вымогателя нет.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

8 июня, 2021

19 минут назад, Sandor сказал:

Здравствуйте!

К сожалению, расшифровки этой версии вымогателя нет.

Отключите до перезагрузки антивирус.

Выделите следующий код:


Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

на виртуальных машинах как убрать его

Fixlog.txt

8 июня, 2021

Как правило, вымогатель уничтожается после шифрования. Но если хотите проверить, выполните для каждой машины правила оформления запроса и создайте темы по принципу одна машина - одна тема.

Здесь в завершение:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

crylock 2.0.0.0 Зашифровали файлы [honestandhope@qq.com]

Рекомендуемые сообщения

admufimskii

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

admufimskii

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum