crylock 2.0.0.0 Можно ли расшифровать данные honeststandhope@qq.com

15 июня, 2021

Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com

можно ли расшифровать данные

15 июня, 2021

Здравствуйте!

Выполните Порядок оформления запроса о помощи

15 июня, 2021

9 минут назад, Sandor сказал:

Здравствуйте!

Выполните Порядок оформления запроса о помощи

FRST.txt

how_to_decrypt.rar УЧАСТКИ 2021.xls[honestandhope@qq.com].rar

архивы с файлами заархивированы с паролем virus

И еще один файл additional прилагаю

Addition.txt

15 июня, 2021

К сожалению, расшифровки этой версии вымогателя нет.

Систему чистим или будете переустанавливать?

15 июня, 2021

А как систему очистить ?

И другие компью.теры в сети то же нужно чистить ???

15 июня, 2021

Чистить так:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [MinerGateGui] => C:\Users\Гость\Downloads\1minergate\minergate.exe --auto
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101] => "C:\users\8ced~1\appdata\local\temp\svcurl.exe" -id "71C36FFC-6A1EA101" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101hta] => c:\users\8ced~1\appdata\local\temp\how_to_decrypt.hta <==== ВНИМАНИЕ
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
FirewallRules: [{C4E010C1-C620-4832-BB28-64DC8778CD85}] => (Allow) LPort=3389
FirewallRules: [{92887B23-B7E0-4A96-B570-896AE079521F}] => (Allow) LPort=80
FirewallRules: [{D4B33ADD-5794-4B55-9A64-EA72059AEB4D}] => (Allow) LPort=3389
FirewallRules: [{CA733FC7-B1CB-4345-A92F-3A98398DE7F0}] => (Allow) LPort=443
FirewallRules: [{6182A95D-0875-4995-9722-6DD9A2F449D6}] => (Allow) LPort=80
FirewallRules: [{9968BCC5-9BB2-42E0-9B7F-8138564FE9B0}] => (Allow) LPort=443
FirewallRules: [{17F16E26-BD8D-4FD7-BDFA-BA4AE71E9387}] => (Allow) LPort=80
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пароли на RDP смените.

15 минут назад, АлексейОстроумов сказал:

другие компью.теры в сети то же нужно чистить ?

Если там зашифровались расшаренные папки, то не нужно. Просто смените пароль доступа в эти папки. Но если все же хотите проверить, действуйте по принципу один компьютер - одна тема.

15 июня, 2021

а этот код дл копирования нужно куда то вставить и потом кнопку FIx нажимать ??

15 июня, 2021

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

15 июня, 2021

1 час назад, Sandor сказал:

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

я сделал все что нужно по вашим рекомендациям прилагаю файл

Fixlog.txt

те систему ОС WIndows 10 можно оставить как есть или все таки переставлять ??

15 июня, 2021

Поскольку шифровальщик скорее всего был запущен вручную, по окончании своей "работы" он вручную же был удалён. Мы по сути очистили некоторые его следы.

Поэтому - да, можно оставить, только следует принять меры:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

15 июня, 2021

Прилагаю результат работы этой утилиты

и еще я в папке Гость _Загрузки нашел такие вот файлы

их лучше удалить наверное ?? SecurityCheck.txt

запаковал файлы но приложить не могу добавить в тему сейчас

при попытке получаю ошибку - 200

15 июня, 2021

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.9 v.4.19.9805 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.5.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Читайте Рекомендации после удаления вредоносного ПО

2 минуты назад, АлексейОстроумов сказал:

в папке Гость _Загрузки

Это не системная папка. Если файлы вам неизвестны и подозрительны, удаляйте смело.

15 июня, 2021

А можно сказать по файлу SecurityCheck.txt ?

те систему можно оставить в том виде как есть ?

15 июня, 2021

Я так понимаю, это отчёт с другой системы, верно?

Утилита показывает только уязвимые места и требуемые обновления программы. Наличие/отсутствие вредоносных файлов и/или их хвостов можно определить по логам из правил.

Но, как я говорил, один компьютер - одна тема. Иначе мы с вами запутаемся.

15 июня, 2021

Нет я запустит утилиту на этом же ПК после заражения ?

crylock 2.0.0.0 Можно ли расшифровать данные honeststandhope@qq.com

Рекомендуемые сообщения

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Sandor

АлексейОстроумов

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum