• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщика "cryakl"

Статус
В этой теме нельзя размещать новые ответы.
steenger

steenger

Новый пользователь
Сообщения
8
Реакции
1
Помогите пожалуйста. Существует ли уже под этот cryakl ключ? Пароль на архив "virus"
 

Вложения

Версия 2.0, расшифровки под нее нет, увы. Система после переустановки или будем чистить?
 
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed] - ваше?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\Users\User2\appdata\local\temp\2\svcneu.exe;
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82hta] => C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta [6034 2020-08-25] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82] => C:\Users\User2\appdata\local\temp\2\svcneu.exe [205312 2020-07-22] () [File not signed] <==== ATTENTION
C:\Users\User2\appdata\local\temp\2\svcneu.exe
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\how_to_decrypt.hta
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Downloads\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Documents\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Desktop\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\how_to_decrypt.hta
2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\how_to_decrypt.hta
2020-08-25 17:35 - 2020-08-25 17:35 - 000006034 _____ C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\how_to_decrypt.hta
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы создавались вами?
systembackup (S-1-5-21-453557850-3216762930-3987295653-1011 - Administrator - Enabled)
User1 (S-1-5-21-453557850-3216762930-3987295653-1000 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-453557850-3216762930-3987295653-1001 - Administrator - Enabled) => C:\Users\User2
Администратор (S-1-5-21-453557850-3216762930-3987295653-500 - Administrator - Enabled) => C:\Users\Администратор.WIN-MKP2I8HF30U

Пароли на RDP смените.
 
akok написал(а):
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed] - ваше?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\Users\User2\appdata\local\temp\2\svcneu.exe;
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82hta] => C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta [6034 2020-08-25] () [File not signed] <==== ATTENTION
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82] => C:\Users\User2\appdata\local\temp\2\svcneu.exe [205312 2020-07-22] () [File not signed] <==== ATTENTION
C:\Users\User2\appdata\local\temp\2\svcneu.exe
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\how_to_decrypt.hta
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Downloads\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Documents\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Desktop\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\how_to_decrypt.hta
2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Downloads\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Documents\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Desktop\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\LocalLow\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\systembackup\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\how_to_decrypt.hta
2020-08-25 17:35 - 2020-08-25 17:35 - 000006034 _____ C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\how_to_decrypt.hta
2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\how_to_decrypt.hta
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы создавались вами?
systembackup (S-1-5-21-453557850-3216762930-3987295653-1011 - Administrator - Enabled)
User1 (S-1-5-21-453557850-3216762930-3987295653-1000 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-453557850-3216762930-3987295653-1001 - Administrator - Enabled) => C:\Users\User2
Администратор (S-1-5-21-453557850-3216762930-3987295653-500 - Administrator - Enabled) => C:\Users\Администратор.WIN-MKP2I8HF30U

Пароли на RDP смените.
Нажмите для раскрытия...
RDP отключили, все создавались нами.
 
Выполните скрипт в AVZ при наличии доступа в интернет:

Код: 
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Перезапустите систему вручную, и на этом все. Шифровальщик убрали из автозапуска... меня еще смущает Desktop_Locker по нестандартному пути, но если ваше, то ладно.
 
1598450428117.webp


Вот это меня еще больше смущает....
 
После взлома первичную разведку (как правило) проводят вручную, отключая антивирус и ставя блокировщик, чтоб не было возможности подключиться во время шифрования другим. Ну и никто не запрещает скачать себе "чувствительную" информацию... если она есть.
 
Последнее редактирование:
Уберу из автозапуска Desktop_Locker. Папку с инструментарием преступников удалите вручную
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сервер перезагрузите вручную

Подробнее читайте в этом руководстве.
 
Fix
Есть хоть какие-то шансы на дешифровку?
 

Вложения

  • Fixlog.txt
    Fixlog.txt
    776 байт · Просмотры: 1
на этом все.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

И
  • Закрыта
Закрыто Здравствуйте поймали шифровальщика.
Ответы
4
Просмотры
963
Sandor
Sandor
Draxxry
  • Закрыта
Решена без расшифровки Поймали шифровальщика [CS 1.7.0.1][opensafezona@cock.li]
Ответы
5
Просмотры
2K
akok
akok
F
Решена без расшифровки Поймали шифровальщика [mr.yoba@aol.com].yoba
Ответы
11
Просмотры
4K
akok
akok
Назад
Сверху Снизу