crylock 2.0.0.0 Помощь в расшифровке файлов от вируса шифровальщика

29 марта, 2022

Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо

Logs Files Virus.rar

29 марта, 2022

Здравствуйте!

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

29 марта, 2022

33 минуты назад, Sandor сказал:

Здравствуйте!

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Нужна помощь для очистки системы от следов

29 марта, 2022

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2643124608-3389001294-274049096-1014\...\Run: [E22F8E58-D3FA3D5Bhta] => C:\Users\serv\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-26] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-03-26 17:50 - 2022-03-26 17:50 - 000001794 _____ C:\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\how_to_decrypt.hta
2022-03-26 17:31 - 2022-03-26 17:31 - 000001794 _____ C:\Users\Administrator\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:30 - 2022-03-26 17:30 - 000001794 _____ C:\Users\Administrator\AppData\Local\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 19:34 - 000000000 ____D C:\Users\serv\AppData\Local\CrashDumps
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-03-26 17:22 - 2022-03-26 17:22 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-03-26 17:18 - 2022-03-26 17:18 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-03-26 17:14 - 2022-03-26 17:14 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-03-26 17:13 - 2022-03-26 17:13 - 000001794 _____ C:\Users\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  Нет файла
FirewallRules: [{C3FF6FF2-F5AE-4592-A621-C89AC5A8835F}] => (Allow) LPort=475
FirewallRules: [{A6B4EB2F-5B04-4314-9FF0-653BA4A9107E}] => (Allow) LPort=475
FirewallRules: [{F741B776-CB2B-4C15-9087-6F70B4BE4BFA}] => (Allow) LPort=475
FirewallRules: [{5A7D7F6B-4D66-42DD-AEB2-423C9D404AFE}] => (Allow) LPort=475
FirewallRules: [{5B6F1455-94B4-430F-B41C-8D6DE9C94A63}] => (Allow) LPort=8000
FirewallRules: [{AF30DDC6-9589-4CDF-8793-659C9E26AF03}] => (Allow) LPort=8000
FirewallRules: [{9F100AA8-E38E-4DED-8B88-FE36C4CD2A47}] => (Allow) LPort=8000
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Замечания:

Из семи учётных записей шесть обладают правами администратора. Это неправильно.

Пароли на все учётные записи смените, а также смените пароли на подключение по RDP.

Версия антивируса устаревшая и больше не поддерживается. Обновите до актуальной.

crylock 2.0.0.0 Помощь в расшифровке файлов от вируса шифровальщика

Рекомендуемые сообщения

9onv

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

9onv

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum