• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщика "cryakl"

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Помогите пожалуйста. Существует ли уже под этот cryakl ключ? Пароль на архив "virus"
 

Вложения

  • Addition.txt
    17.7 KB · Просмотры: 2
  • FRST.txt
    36.1 KB · Просмотры: 2
  • Report.7z
    869.8 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
Версия 2.0, расшифровки под нее нет, увы. Система после переустановки или будем чистить?
 

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed] - ваше?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\User2\appdata\local\temp\2\svcneu.exe;
    HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82hta] => C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta [6034 2020-08-25] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82] => C:\Users\User2\appdata\local\temp\2\svcneu.exe [205312 2020-07-22] () [File not signed] <==== ATTENTION
    C:\Users\User2\appdata\local\temp\2\svcneu.exe
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\how_to_decrypt.hta
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Downloads\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Documents\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Desktop\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\how_to_decrypt.hta
    2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\systembackup\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\how_to_decrypt.hta
    2020-08-25 17:35 - 2020-08-25 17:35 - 000006034 _____ C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\how_to_decrypt.hta
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы создавались вами?
systembackup (S-1-5-21-453557850-3216762930-3987295653-1011 - Administrator - Enabled)
User1 (S-1-5-21-453557850-3216762930-3987295653-1000 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-453557850-3216762930-3987295653-1001 - Administrator - Enabled) => C:\Users\User2
Администратор (S-1-5-21-453557850-3216762930-3987295653-500 - Administrator - Enabled) => C:\Users\Администратор.WIN-MKP2I8HF30U

Пароли на RDP смените.
 

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed] - ваше?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\User2\appdata\local\temp\2\svcneu.exe;
    HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82hta] => C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta [6034 2020-08-25] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [A7C53991-1BCC6E82] => C:\Users\User2\appdata\local\temp\2\svcneu.exe [205312 2020-07-22] () [File not signed] <==== ATTENTION
    C:\Users\User2\appdata\local\temp\2\svcneu.exe
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\how_to_decrypt.hta
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:42 - 2020-08-25 17:42 - 000006034 _____ C:\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Downloads\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Documents\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\Desktop\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\how_to_decrypt.hta
    2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:38 - 2020-08-25 17:38 - 000006034 _____ C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User2\AppData\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Downloads\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Documents\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\Desktop\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\LocalLow\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ C:\Users\User1\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\systembackup\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-25 17:36 - 2020-08-25 17:36 - 000006034 _____ C:\ProgramData\how_to_decrypt.hta
    2020-08-25 17:35 - 2020-08-25 17:35 - 000006034 _____ C:\Users\User2\AppData\Local\Temp\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\how_to_decrypt.hta
    2020-08-25 17:41 - 2020-08-25 17:41 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-08-25 17:37 - 2020-08-25 17:37 - 000006034 _____ () C:\Users\Администратор.WIN-MKP2I8HF30U\AppData\Local\how_to_decrypt.hta
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы создавались вами?
systembackup (S-1-5-21-453557850-3216762930-3987295653-1011 - Administrator - Enabled)
User1 (S-1-5-21-453557850-3216762930-3987295653-1000 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-453557850-3216762930-3987295653-1001 - Administrator - Enabled) => C:\Users\User2
Администратор (S-1-5-21-453557850-3216762930-3987295653-500 - Administrator - Enabled) => C:\Users\Администратор.WIN-MKP2I8HF30U

Пароли на RDP смените.
RDP отключили, все создавались нами.
 

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Прилагаю лог
 

Вложения

  • Fixlog.txt
    14 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Перезапустите систему вручную, и на этом все. Шифровальщик убрали из автозапуска... меня еще смущает Desktop_Locker по нестандартному пути, но если ваше, то ладно.
 

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
1598450428117.png


Вот это меня еще больше смущает....
 

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
После взлома первичную разведку (как правило) проводят вручную, отключая антивирус и ставя блокировщик, чтоб не было возможности подключиться во время шифрования другим. Ну и никто не запрещает скачать себе "чувствительную" информацию... если она есть.
 
Последнее редактирование:

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
AVZ
 

Вложения

  • virusinfo_auto_PC0143.zip
    5.1 MB · Просмотры: 1
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
Уберу из автозапуска Desktop_Locker. Папку с инструментарием преступников удалите вручную
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-453557850-3216762930-3987295653-1001\...\Run: [Desktop_Locker_456] => C:\Users\User2\Music\Desktop_Locker.exe [279303 2019-04-24] () [File not signed]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сервер перезагрузите вручную

Подробнее читайте в этом руководстве.
 

steenger

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Fix
Есть хоть какие-то шансы на дешифровку?
 

Вложения

  • Fixlog.txt
    776 байт · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,407
Реакции
13,383
Баллы
2,203
на этом все.
 
Сверху Снизу