• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. crylock 2.0 с почтой honestandhope@qq.com

Статус
В этой теме нельзя размещать новые ответы.

Karavay1

Новый пользователь
Сообщения
2
Реакции
0
Добрый день. Поймали шифровальщик. Есть ли возможность расшифровки ?
 

Вложения

Ваши файлы. Инструкцию сейчас отправлю в ЛС. Система под переустановку?
 

Вложения

Спасибо огромное. Все расшифровалось. Переустановка не требуется
 
Тогда нужно подчистить систему. Ну и пароли на RDP смените

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-751758841-930186456-3893538758-1000\...\Run: [FECE9005-FC8C9C2Chta] => C:\Users\49BE~1\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-05-28] () [Файл не подписан] <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-09-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ВНИМАНИ
    2021-05-29 01:31 - 2021-05-29 01:31 - 000006029 _____ C:\how_to_decrypt.hta
    2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\передача\how_to_decrypt.hta
    2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\передача\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\how_to_decrypt.hta
    2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Downloads\how_to_decrypt.hta
    2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Documents\how_to_decrypt.hta
    2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Desktop\how_to_decrypt.hta
    2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ C:\Users\передача\AppData\Roaming\how_to_decrypt.hta
    2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ C:\Users\передача\AppData\how_to_decrypt.hta
    2021-05-28 19:07 - 2021-05-28 19:07 - 000006029 _____ C:\Users\передача\AppData\LocalLow\how_to_decrypt.hta
    2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\передача\AppData\Local\how_to_decrypt.hta
    2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\передача\AppData\Local\Apps\how_to_decrypt.hta
    2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
    2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-05-28 18:13 - 2021-05-28 18:13 - 000006029 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
    2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ () C:\Users\передача\AppData\Roaming\how_to_decrypt.hta
    2021-05-28 19:09 - 2021-05-28 19:09 - 000006029 _____ () C:\Users\передача\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ () C:\Users\передача\AppData\Local\how_to_decrypt.hta
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
@Karavay1, скрипт выполнили? Результат покажите.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу