• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Нужна помощь с расшифровкой после вируса (darkmask@mailfence.com][fervis)

Статус
В этой теме нельзя размещать новые ответы.

Hulk777

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Добрый день! Нужна помощь с расшифровкой файлов после вируса CryLock. На выходных компьютер был включён, но никто не работал. При попытке зайти появилось полноэкранное чёрное окно с требование ввести пароль. Диспетчером был снят процесс, и только после этого антивирус Total 360 сообщил что найден вирус. Единственное что было за выходные, это открытый во внешний мир RDP. Прилагаю архив с зашифрованными файлами и то что нашел в папке Документы\Музыка. В архиве "Music" есть текстовый файл "Advanced_IP_Scanner_2.5.3850.exe.txt" соответствующий одноименному файлу но который пришлось удалить так как архив из-за размера не прикреплялся к данному сообщению.

Заранее спасибо.
 

Вложения

  • Virus_darkmask_mailfence.com_fervis.7z
    3 MB · Просмотры: 3
  • Music.7z.7z
    1.6 MB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
20,020
Реакции
13,679
Баллы
2,203
Взломали через RDP, смените пароли пользователей. Система под переустановку или будем чистить?

По поводу расшифровки, порадовать нечем, расшифровать пока не получится.
 

Hulk777

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Да я понял что взлом через RDP. Чистить. Очень хотелось бы расшифровать, так как это комп секретаря и там много докуемнтов за длительный период и никаких резервных копий ((
 

akok

Команда форума
Администратор
Сообщения
20,020
Реакции
13,679
Баллы
2,203
C:\Users\User\Documents\scptres.vbs - ваше?

Проверьте список пользователей, нет ли лишних администраторов
systembackup (S-1-5-21-2490859091-959554914-4052778551-1001 - Administrator - Enabled)
User (S-1-5-21-2490859091-959554914-4052778551-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-2490859091-959554914-4052778551-500 - Administrator - Disabled)

Очень хотелось бы расшифровать
Не нашими силами, дешифровщика не было в сети. Попробуйте обратиться в вирлабы дрвеб и ЛК.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2490859091-959554914-4052778551-1000\...\Run: [F8256023-65728F2E] => "C:\Users\User\AppData\Local\Temp\svchjb.exe" -id "F8256023-65728F2E" -wid "fervis" <==== ATTENTION
    HKU\S-1-5-21-2490859091-959554914-4052778551-1000\...\Run: [Desktop_Locker_456] => "C:\Users\User\Music\Desktop_Locker.exe" CB07A082D039A34E22016750J7524E2B4A224740AAF64D5FAD08520ACDF9F8912E7DE
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\systembackup\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ () C:\Users\User\AppData\Local\how_to_decrypt.hta
    CustomCLSID: HKU\S-1-5-21-2490859091-959554914-4052778551-1000_Classes\CLSID\{0BCD810B-DD0C-4D4C-8258-265001DABFEB}\InprocServer32 -> C:\Users\User\AppData\Local\Temp\v8_F945_8.dll => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,787
Реакции
2,334
Баллы
653
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу