crylock 2.0.0.0 прошу помощи в расшифровке файлов, или в очистке последствий

[localhost]

Добрый день, словили шифровальщик, в итоге все файлы зашифрованы. Подскажите, пожалуйста, возможна ли расшифровка? Если нет - то какие действия от меня требуются для очистки системы от последствий? Заранее благодарен. 
Ниже прикладываю требуемые файлы (логи FRST, два зашифрованных файла).

FRST.txt Касса.xlsx[paybackformistake@qq.com].zip надпись реализация.odt[paybackformistake@qq.com].zip Addition.txt

Изменено 20 декабря, 2021 пользователем localhost
опечатка

[Sandor]

Здравствуйте!

 

Расшифровки этой версии нет.

 

Чистим:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  Startup: C:\Users\1cadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\Users\Bakieva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-12-15] () [Файл не подписан]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  2021-12-15 21:05 - 2021-12-15 21:05 - 000001792 _____ C:\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\User\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\User\Downloads\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\User\Documents\how_to_decrypt.hta
  2021-12-15 21:04 - 2021-12-15 21:04 - 000001792 _____ C:\Users\User\Desktop\how_to_decrypt.hta
  2021-12-15 21:03 - 2021-12-15 21:03 - 000001792 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 21:03 - 2021-12-15 21:03 - 000001792 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 21:03 - 2021-12-15 21:03 - 000001792 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 21:03 - 2021-12-15 21:03 - 000001792 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
  2021-12-15 21:03 - 2021-12-15 21:03 - 000001792 _____ C:\Users\User\AppData\how_to_decrypt.hta
  2021-12-15 21:02 - 2021-12-15 21:13 - 000002240 _____ C:\Users\1cadmin\Documents\Default.rdp
  2021-12-15 21:00 - 2021-12-15 21:00 - 000001792 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
  2021-12-15 21:00 - 2021-12-15 21:00 - 000001792 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
  2021-12-15 21:00 - 2021-12-15 21:00 - 000001792 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
  2021-12-15 21:00 - 2021-12-15 21:00 - 000001792 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\Documents\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Bakieva\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Bakieva\Downloads\how_to_decrypt.hta
  2021-12-15 20:59 - 2021-12-15 20:59 - 000001792 _____ C:\Users\Bakieva\Documents\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\Desktop\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\AppData\LocalLow\how_to_decrypt.hta
  2021-12-15 20:58 - 2021-12-15 20:58 - 000001792 _____ C:\Users\Bakieva\AppData\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\Bakieva\AppData\Local\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\Downloads\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\Documents\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\Desktop\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\AppData\Roaming\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\AppData\LocalLow\how_to_decrypt.hta
  2021-12-15 20:56 - 2021-12-15 20:56 - 000001792 _____ C:\Users\1cadmin\AppData\how_to_decrypt.hta
  2021-12-15 20:55 - 2021-12-15 20:55 - 000001792 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
  2021-12-15 20:55 - 2021-12-15 20:55 - 000001792 _____ C:\Users\1cadmin\AppData\Local\how_to_decrypt.hta
  2021-12-15 20:55 - 2021-12-15 20:55 - 000001792 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-12-15 20:55 - 2021-12-15 20:55 - 000001792 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-12-15 20:54 - 2021-12-15 20:54 - 000001792 _____ C:\ProgramData\how_to_decrypt.hta
  2021-12-15 20:54 - 2021-12-15 20:54 - 000001792 _____ C:\Program Files (x86)\how_to_decrypt.hta
  2021-12-15 20:53 - 2021-12-15 20:53 - 000001792 _____ C:\Program Files\how_to_decrypt.hta
  2021-12-15 20:52 - 2021-12-15 20:52 - 000001792 _____ C:\Program Files\Common Files\how_to_decrypt.hta
  2021-12-15 20:51 - 2021-12-15 20:51 - 000001792 _____ C:\Users\how_to_decrypt.hta
  AlternateDataStreams: C:\Users\Bakieva:Index [148]
  AlternateDataStreams: C:\Users\User:Index [148]
  FirewallRules: [{59F4892A-B992-417D-A7AE-73B8BE18A87C}] => (Allow) LPort=80
  FirewallRules: [{B72C70FD-2539-4F1D-B498-9D18EC489967}] => (Allow) LPort=475
  FirewallRules: [{EC0247C3-B541-4A4B-81E6-25EC7605D9D8}] => (Allow) LPort=475
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Меняйте пароль на учётную запись администратора и пароли на подключение по RDP.