crylock 2.0.0.0 Помощь в расшифровке файлов от вируса шифровальщика

[9onv 0]

Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо

Logs Files Virus.rar

[Sandor 1 135]

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

[9onv 0]

33 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Нужна помощь для очистки системы от следов

[Sandor 1 135]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2643124608-3389001294-274049096-1014\...\Run: [E22F8E58-D3FA3D5Bhta] => C:\Users\serv\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-26] () [Файл не подписан] <==== ВНИМАНИЕ
  Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
  Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
  Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
  2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
  2022-03-26 17:50 - 2022-03-26 17:50 - 000001794 _____ C:\how_to_decrypt.hta
  2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
  2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
  2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
  2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
  2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
  2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Downloads\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Documents\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Desktop\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
  2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Downloads\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Documents\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Desktop\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\how_to_decrypt.hta
  2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\how_to_decrypt.hta
  2022-03-26 17:31 - 2022-03-26 17:31 - 000001794 _____ C:\Users\Administrator\AppData\LocalLow\how_to_decrypt.hta
  2022-03-26 17:30 - 2022-03-26 17:30 - 000001794 _____ C:\Users\Administrator\AppData\Local\how_to_decrypt.hta
  2022-03-26 17:29 - 2022-03-26 19:34 - 000000000 ____D C:\Users\serv\AppData\Local\CrashDumps
  2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
  2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
  2022-03-26 17:22 - 2022-03-26 17:22 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
  2022-03-26 17:18 - 2022-03-26 17:18 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
  2022-03-26 17:14 - 2022-03-26 17:14 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
  2022-03-26 17:13 - 2022-03-26 17:13 - 000001794 _____ C:\Users\how_to_decrypt.hta
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  Нет файла
  FirewallRules: [{C3FF6FF2-F5AE-4592-A621-C89AC5A8835F}] => (Allow) LPort=475
  FirewallRules: [{A6B4EB2F-5B04-4314-9FF0-653BA4A9107E}] => (Allow) LPort=475
  FirewallRules: [{F741B776-CB2B-4C15-9087-6F70B4BE4BFA}] => (Allow) LPort=475
  FirewallRules: [{5A7D7F6B-4D66-42DD-AEB2-423C9D404AFE}] => (Allow) LPort=475
  FirewallRules: [{5B6F1455-94B4-430F-B41C-8D6DE9C94A63}] => (Allow) LPort=8000
  FirewallRules: [{AF30DDC6-9589-4CDF-8793-659C9E26AF03}] => (Allow) LPort=8000
  FirewallRules: [{9F100AA8-E38E-4DED-8B88-FE36C4CD2A47}] => (Allow) LPort=8000
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Замечания:

Из семи учётных записей шесть обладают правами администратора. Это неправильно.

Пароли на все учётные записи смените, а также смените пароли на подключение по RDP.

 

Версия антивируса устаревшая и больше не поддерживается. Обновите до актуальной.