crylock 2.0.0.0 Можно ли расшифровать данные honeststandhope@qq.com

[АлексейОстроумов]

Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com   

можно  ли расшифровать данные   

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

[АлексейОстроумов]

9 минут назад, Sandor сказал:

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

FRST.txt

how_to_decrypt.rar УЧАСТКИ 2021.xls[honestandhope@qq.com].rar

архивы с файлами   заархивированы с паролем virus

И еще один файл   additional   прилагаю  

Addition.txt

[Sandor]

К сожалению, расшифровки этой версии вымогателя нет.

Систему чистим или будете переустанавливать?

[АлексейОстроумов]

А как систему очистить   ?   

И другие компью.теры в сети то же нужно чистить ???

[Sandor]

Чистить так:

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [MinerGateGui] => C:\Users\Гость\Downloads\1minergate\minergate.exe --auto
  HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101] => "C:\users\8ced~1\appdata\local\temp\svcurl.exe" -id "71C36FFC-6A1EA101" -wid "888" <==== ВНИМАНИЕ
  HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101hta] => c:\users\8ced~1\appdata\local\temp\how_to_decrypt.hta <==== ВНИМАНИЕ
  2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\how_to_decrypt.hta
  2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
  2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
  2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
  2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
  2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
  2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
  2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
  2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
  2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
  FirewallRules: [{C4E010C1-C620-4832-BB28-64DC8778CD85}] => (Allow) LPort=3389
  FirewallRules: [{92887B23-B7E0-4A96-B570-896AE079521F}] => (Allow) LPort=80
  FirewallRules: [{D4B33ADD-5794-4B55-9A64-EA72059AEB4D}] => (Allow) LPort=3389
  FirewallRules: [{CA733FC7-B1CB-4345-A92F-3A98398DE7F0}] => (Allow) LPort=443
  FirewallRules: [{6182A95D-0875-4995-9722-6DD9A2F449D6}] => (Allow) LPort=80
  FirewallRules: [{9968BCC5-9BB2-42E0-9B7F-8138564FE9B0}] => (Allow) LPort=443
  FirewallRules: [{17F16E26-BD8D-4FD7-BDFA-BA4AE71E9387}] => (Allow) LPort=80
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на RDP смените.

 

15 минут назад, АлексейОстроумов сказал:

другие компью.теры в сети то же нужно чистить ?

Если там зашифровались расшаренные папки, то не нужно. Просто смените пароль доступа в эти папки. Но если все же хотите проверить, действуйте по принципу один компьютер - одна тема.

[АлексейОстроумов]

а этот код дл копирования нужно куда то вставить и потом кнопку FIx нажимать  ??    

[Sandor]

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

[АлексейОстроумов]

1 час назад, Sandor сказал:

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

я сделал все что нужно по вашим рекомендациям   прилагаю файл 

Fixlog.txt

те систему ОС WIndows 10    можно оставить как  есть   или все таки переставлять ?? 

[Sandor]

Поскольку шифровальщик скорее всего был запущен вручную, по окончании своей "работы" он вручную же был удалён. Мы по сути очистили некоторые его следы.

Поэтому - да, можно оставить, только следует принять меры:

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[АлексейОстроумов]

Прилагаю результат   работы этой утилиты 

и еще я в папке Гость _Загрузки    нашел  такие вот файлы   

их лучше удалить наверное ?? SecurityCheck.txt  

запаковал файлы    но приложить не могу добавить в тему сейчас 

при попытке получаю ошибку - 200

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.9 v.4.19.9805 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.5.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

 

2 минуты назад, АлексейОстроумов сказал:

в папке Гость _Загрузки

Это не системная папка. Если файлы вам неизвестны и подозрительны, удаляйте смело.

[АлексейОстроумов]

А можно сказать по файлу  SecurityCheck.txt    ?

те систему  можно оставить в том виде как есть ?

[Sandor]

Я так понимаю, это отчёт с другой системы, верно?

Утилита показывает только уязвимые места и требуемые обновления программы. Наличие/отсутствие вредоносных файлов и/или их хвостов можно определить по логам из правил.

Но, как я говорил, один компьютер - одна тема. Иначе мы с вами запутаемся.

[АлексейОстроумов]

Нет я запустит утилиту на этом же ПК после заражения ?