Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
    2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
    2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

на виртуальных машинах как убрать его 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Как правило, вымогатель уничтожается после шифрования. Но если хотите проверить, выполните для каждой машины правила оформления запроса и создайте темы по принципу одна машина - одна тема.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
    • От Angel6891
      Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 
      0100101110100111001 Your files will be lost after 2 days 08:46:52 Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
      Your unique ID [70124F14-2117AED4] [copy] В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный
       
    • От Алексей_dandiv
      Здравствуйте! На работе поймали шифровальщика, кое-как выяснили с какого компьютера шло заражение. Утилита Kaspersky Virus Removal Tool, нашла вирус на одном компьютере, определила его как Trojan-Ransom.MSIL.Cryakl.gen. В архиве приложен файлик Скрин.jpg. В памяти был еще загружен Trojan.Win32.SEPEH.gen. Утилита удалила вирус, а вот теперь как быть с зашифрованными файлами на компьютерах, есть ли возможность их расшифровать? У зашифрованных файлов дописывается что-то типа [honestandhope@qq.com].[1808347A-9C6B4B40]. В папке с зашифрованными файлами появляется файлик how_to_decrypt. Утилиты RakhniDecryptor и rannohdecryptor не помогают. Логи анализа системы при помощи  Farbar Recovery Scan Tool приложены в архиве вместе с документами Наушники оригинал и он же зашифрованный плюс дополнительный зашифрованный документ. В отдельном архиве файл how_to_decrypt с паролем на архив согласно правилам оформления запроса о помощи.
      how_to_decrypt.zip Documents.zip
    • От county
      Добрый день!
       
      Поймал вирус шифровальщик, скорее всего после RDP подключения с зараженного ПК с монтированием дисков. Подскажите, можно ли это расшифровать?
      files.zip Addition.txt FRST.txt
×
×
  • Создать...