crylock 2.0.0.0 Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]

[Kur]

На компьютер был предположительно занесен вирус. Много файлов, и даже базы 1с были зашифрованы. Ко всем файлам теперь приписка " [hopeandhonest@smime.ninja].[187D8F74-F630AD5C] " , были изменено разрешение файлов и файлы не открываются. Так же в каждой папке с такими файлами был создан файл " how_to_decrypt.hta " . После была проведена проверка антивирусной программой и файлы вируса были удалены. Но результат его работы остался.
Пробывали различные утилиты для расшифровки файлов, но результата они не дали. Прикладываем примеры зашифрованного файла и файла созданного в каждой папке.
Возможна ли расшифровка данных файлов?

еще файлы 2.rar

файлы.rar Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Систему планируете переустанавливать или нужна помощь в очистке?

[Kur]

В системе много ключей, если возможно систему будем чистить. Слишком много настроек которые уже мало кто помнит, не хотелось бы переустанавливать. Уже двумя антивирусами прогнали, зараженные файлы были найдены и удалены. Сейчас новые файлы не шифруются. Осталось только огромное количество зашифрованных файлов и этих файлов с "инструкцией" в каждой папке.

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-22] () [Файл не подписан]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {14D77899-3628-4386-8991-872638BA9DD8} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "D:\Обновления\RDPWrap-v1.6.2\autoupdate\autoupdate.bat" -log <==== ВНИМАНИЕ
  2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
  2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\how_to_decrypt.hta
  2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\Downloads\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\LocalLow\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Local\how_to_decrypt.hta
  2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\how_to_decrypt.hta
  2022-01-22 18:44 - 2022-01-22 18:44 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
  FirewallRules: [{141A6705-FED7-4FC1-830D-589966CBFFAB}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk.

[Sandor]

В этой теме разговор идёт только с пользователем @Kur. Для всех действуют специальные правила раздела (кратко, создайте свою тему).

Даже если кажется похожим заражение, оно может быть совершенно другим.

[Kur]

А можно с начало узнать подробней что делает этот код? Зашифрованные файлы не будут удалены? - или будут удалены только файлы "требований злоумышников"?

Доступ у пользователей не пропадет после этого? Хотелось бы немного понимания процесса.

И вопрос мы делали проверку двумя антивирусами, они находили и "очищали " файлы. Вирус был полностью уже удален с данного компьютера? или данный код и удалит его окончательно?

[Sandor]

4 минуты назад, Kur сказал:

или будут удалены только файлы "требований злоумышников"?

Да, именно так. А также отключит разрешение на порт 3389, используемый для RDP.

Причём, файлы требований будут не удалены, а помещены в карантин.

[Kur]

К данному компьютеру люди подключаются по RDP как раз. Разве это не значит что они не смогут больше подключится к данному компьютеру по RDP?.

Или так же смогут? - этим устройством пользуются более десятка пользователей и они все подключаются по RDP.

[Sandor]

Так же через RDP и злоумышленники подключились. Поэтому обязательно

17 часов назад, Sandor сказал:

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk

 

А если нужен доступ, следует принять некоторые меры, а не просто открыть порт.

Из локальной сети - нужно явно указать подсеть, которой разрешено подключаться. А из внешней - использовать подключение через VPN.

[halit]

У меня этот же шифровальщик.

Обнаружил "рабочую папку" шифровальщика с разными утилитами в папке "Видео" профиля пользователя.

Такими как: logs_cleaner.bat, .cr_hand.exe, .cr_auto.exe и тд.

Это не поможет в расшифровке?

Изменено 22 июня, 2022 пользователем halit

[Sandor]

@halit, здравствуйте!

 

Не поможет. Только, пожалуйста, не нарушайте правила этого раздела. Создайте свою тему и выполните Порядок оформления запроса о помощи

 

Эта тема закрыта.

[Sandor]

@Kur, здравствуйте!

Если вы ещё заинтересованы в расшифровке, могу обрадовать. Вот ваши файлы.