Решена без расшифровки Налетел на Trojan.Encoder.3953 [lamaskara@mailfence.com]

[Geosan]

Проникли через RDP. Завели нового пользователя. Но установили и запустили из-под старого пользователя.
Нашел две проги, которые были запущены, они, как требуется, запакованы в зип с паролем. Еще я у файлов последнее e в exe заменил на знак подчеркивания.
Лог от программы FRST прикладываю .
в 1.zip файл, который был размещен в каждой папке и содержит в себе информацию по запросу расшифровки.

 

[Geosan]

Забыл пару зашифрованных файлов

 

[akok]

Пожалуйста перезагрузите zip архивы, обнаружил мод который ломал вложения после обновления.

 

[Geosan]

ок

 

[akok]

Увы, версия CryLock 2.0.0.0, для нее нет возможности расшифровать файлы

Это рабочая станция? (Running from C:\rec) Сервер через который вошли уже определили? Смените пароли на RDP и проверьте пользователей, нет ли лишних администраторов.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2916731744-2611840104-4216503845-1000\...\Run: [C23C856F-B6D44893hta] => C:\Users\ENDER\AppData\Local\Temp\how_to_decrypt.hta <==== ATTENTION
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Geosan]

Спасибо, но хозяева компьютера приняли решение всё снести и переустановить операционку. Это был единственный компьютер,который смотрел RDP во внешнюю сеть.

 

[akok]

Хорошо, только пароли смените и скройте RDP за VPN

 

[Geosan]

Спасибо, убрали

 

[akok]

Тогда удачи!