Решена с расшифровкой. crylock 2.0 с почтой honestandhope@qq.com

[Karavay1]

Добрый день. Поймали шифровальщик. Есть ли возможность расшифровки ?

 

[akok]

Ваши файлы. Инструкцию сейчас отправлю в ЛС. Система под переустановку?

 

[Karavay1]

Спасибо огромное. Все расшифровалось. Переустановка не требуется

 

[akok]

Тогда нужно подчистить систему. Ну и пароли на RDP смените

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-751758841-930186456-3893538758-1000\...\Run: [FECE9005-FC8C9C2Chta] => C:\Users\49BE~1\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-05-28] () [Файл не подписан] <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-09-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ВНИМАНИ
  2021-05-29 01:31 - 2021-05-29 01:31 - 000006029 _____ C:\how_to_decrypt.hta
  2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\передача\how_to_decrypt.hta
  2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\передача\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-05-28 20:34 - 2021-05-28 20:34 - 000006029 _____ C:\Users\how_to_decrypt.hta
  2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Downloads\how_to_decrypt.hta
  2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Documents\how_to_decrypt.hta
  2021-05-28 20:33 - 2021-05-28 20:33 - 000006029 _____ C:\Users\передача\Desktop\how_to_decrypt.hta
  2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ C:\Users\передача\AppData\Roaming\how_to_decrypt.hta
  2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ C:\Users\передача\AppData\how_to_decrypt.hta
  2021-05-28 19:07 - 2021-05-28 19:07 - 000006029 _____ C:\Users\передача\AppData\LocalLow\how_to_decrypt.hta
  2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\передача\AppData\Local\how_to_decrypt.hta
  2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\передача\AppData\Local\Apps\how_to_decrypt.hta
  2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
  2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-05-28 18:13 - 2021-05-28 18:13 - 000006029 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
  2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
  2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  2021-05-28 18:12 - 2021-05-28 18:12 - 000006029 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
  2021-05-28 19:10 - 2021-05-28 19:10 - 000006029 _____ () C:\Users\передача\AppData\Roaming\how_to_decrypt.hta
  2021-05-28 19:09 - 2021-05-28 19:09 - 000006029 _____ () C:\Users\передача\AppData\Roaming\Microsoft\how_to_decrypt.hta
  2021-05-28 18:14 - 2021-05-28 18:14 - 000006029 _____ () C:\Users\передача\AppData\Local\how_to_decrypt.hta
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

@Karavay1, скрипт выполнили? Результат покажите.