crylock 2.0.0.0 Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]

24 января, 2022

На компьютер был предположительно занесен вирус. Много файлов, и даже базы 1с были зашифрованы. Ко всем файлам теперь приписка " [hopeandhonest@smime.ninja].[187D8F74-F630AD5C] " , были изменено разрешение файлов и файлы не открываются. Так же в каждой папке с такими файлами был создан файл " how_to_decrypt.hta " . После была проведена проверка антивирусной программой и файлы вируса были удалены. Но результат его работы остался.
Пробывали различные утилиты для расшифровки файлов, но результата они не дали. Прикладываем примеры зашифрованного файла и файла созданного в каждой папке.
Возможна ли расшифровка данных файлов?

еще файлы 2.rar

файлы.rar Addition.txt FRST.txt

24 января, 2022

Здравствуйте!

Расшифровки этой версии вымогателя нет.

Систему планируете переустанавливать или нужна помощь в очистке?

24 января, 2022

В системе много ключей, если возможно систему будем чистить. Слишком много настроек которые уже мало кто помнит, не хотелось бы переустанавливать. Уже двумя антивирусами прогнали, зараженные файлы были найдены и удалены. Сейчас новые файлы не шифруются. Осталось только огромное количество зашифрованных файлов и этих файлов с "инструкцией" в каждой папке.

24 января, 2022

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-22] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {14D77899-3628-4386-8991-872638BA9DD8} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "D:\Обновления\RDPWrap-v1.6.2\autoupdate\autoupdate.bat" -log <==== ВНИМАНИЕ
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\Downloads\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\LocalLow\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Local\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\how_to_decrypt.hta
2022-01-22 18:44 - 2022-01-22 18:44 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
FirewallRules: [{141A6705-FED7-4FC1-830D-589966CBFFAB}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk.

25 января, 2022

В этой теме разговор идёт только с пользователем @Kur. Для всех действуют специальные правила раздела (кратко, создайте свою тему).

Даже если кажется похожим заражение, оно может быть совершенно другим.

25 января, 2022

А можно с начало узнать подробней что делает этот код? Зашифрованные файлы не будут удалены? - или будут удалены только файлы "требований злоумышников"?

Доступ у пользователей не пропадет после этого? Хотелось бы немного понимания процесса.

И вопрос мы делали проверку двумя антивирусами, они находили и "очищали " файлы. Вирус был полностью уже удален с данного компьютера? или данный код и удалит его окончательно?

25 января, 2022

4 минуты назад, Kur сказал:

или будут удалены только файлы "требований злоумышников"?

Да, именно так. А также отключит разрешение на порт 3389, используемый для RDP.

Причём, файлы требований будут не удалены, а помещены в карантин.

25 января, 2022

К данному компьютеру люди подключаются по RDP как раз. Разве это не значит что они не смогут больше подключится к данному компьютеру по RDP?.

Или так же смогут? - этим устройством пользуются более десятка пользователей и они все подключаются по RDP.

25 января, 2022

Так же через RDP и злоумышленники подключились. Поэтому обязательно

17 часов назад, Sandor сказал:

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk

А если нужен доступ, следует принять некоторые меры, а не просто открыть порт.

Из локальной сети - нужно явно указать подсеть, которой разрешено подключаться. А из внешней - использовать подключение через VPN.

22 июня, 2022

У меня этот же шифровальщик.

Обнаружил "рабочую папку" шифровальщика с разными утилитами в папке "Видео" профиля пользователя.

Такими как: logs_cleaner.bat, .cr_hand.exe, .cr_auto.exe и тд.

Это не поможет в расшифровке?

Изменено 22 июня, 2022 пользователем halit

22 июня, 2022

@halit, здравствуйте!

Не поможет. Только, пожалуйста, не нарушайте правила этого раздела. Создайте свою тему и выполните Порядок оформления запроса о помощи

Эта тема закрыта.

31 июля, 2022

@Kur, здравствуйте!

Если вы ещё заинтересованы в расшифровке, могу обрадовать. Вот ваши файлы.

crylock 2.0.0.0 Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]

Рекомендуемые сообщения

Kur

Sandor

Kur

Sandor

Sandor

Kur

Sandor

Kur

Sandor

halit

Sandor

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum