Перейти к содержанию

Помощь в расшифровке файлов от вируса шифровальщика

9onv
 Поделиться

Рекомендуемые сообщения

9onv Новичок

9onv

Опубликовано
Опубликовано

Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо

Logs Files Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Ссылка на комментарий
Поделиться на другие сайты
9onv Новичок

9onv

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Нужна помощь для очистки системы от следов

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2643124608-3389001294-274049096-1014\...\Run: [E22F8E58-D3FA3D5Bhta] => C:\Users\serv\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-26] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-03-26 17:50 - 2022-03-26 17:50 - 000001794 _____ C:\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\how_to_decrypt.hta
2022-03-26 17:31 - 2022-03-26 17:31 - 000001794 _____ C:\Users\Administrator\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:30 - 2022-03-26 17:30 - 000001794 _____ C:\Users\Administrator\AppData\Local\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 19:34 - 000000000 ____D C:\Users\serv\AppData\Local\CrashDumps
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-03-26 17:22 - 2022-03-26 17:22 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-03-26 17:18 - 2022-03-26 17:18 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-03-26 17:14 - 2022-03-26 17:14 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-03-26 17:13 - 2022-03-26 17:13 - 000001794 _____ C:\Users\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  Нет файла
FirewallRules: [{C3FF6FF2-F5AE-4592-A621-C89AC5A8835F}] => (Allow) LPort=475
FirewallRules: [{A6B4EB2F-5B04-4314-9FF0-653BA4A9107E}] => (Allow) LPort=475
FirewallRules: [{F741B776-CB2B-4C15-9087-6F70B4BE4BFA}] => (Allow) LPort=475
FirewallRules: [{5A7D7F6B-4D66-42DD-AEB2-423C9D404AFE}] => (Allow) LPort=475
FirewallRules: [{5B6F1455-94B4-430F-B41C-8D6DE9C94A63}] => (Allow) LPort=8000
FirewallRules: [{AF30DDC6-9589-4CDF-8793-659C9E26AF03}] => (Allow) LPort=8000
FirewallRules: [{9F100AA8-E38E-4DED-8B88-FE36C4CD2A47}] => (Allow) LPort=8000
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Замечания:

Из семи учётных записей шесть обладают правами администратора. Это неправильно.

Пароли на все учётные записи смените, а также смените пароли на подключение по RDP.

 

Версия антивируса устаревшая и больше не поддерживается. Обновите до актуальной.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Джо
      Помощь в расшифровке graff_de_malfet@protonmail.ch
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
×
×
  • Создать...