• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Помощь в расшифровке файлов darkmask@mailfence.com

Статус
В этой теме нельзя размещать новые ответы.

AndreiD

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Добрый день.
Не известно каким образом поймал шифровальщик. В системе установлен KIS.

KISом провел восстановление системы.
Логи, записку и пару зашифрованных файлов прикрепляю.
Помогите расшифровать файлы.
 

Вложения

  • virus.rar
    2 KB · Просмотры: 1
  • Зашифрованые файлы.rar
    142.3 KB · Просмотры: 2
  • Logs.rar
    39.4 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
Расшифровки CryLock 2.0.0.0 нет.
 

AndreiD

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Тогда пока почистить систему от следов и все зашифрованные файлы скидать в одну папку, как это можно сделать?
 

akok

Команда форума
Администратор
Сообщения
20,020
Реакции
13,679
Баллы
2,203
как это можно сделать?
Поиск по маске *.[AE13A795-F8A25CC8] + сохраните записку от вымогателей. После смените пароли на RDP, а лучше скройте доступ за VPN. После скрипт

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3724176764-1663761435-3868208489-1001\...\Run: [AE13A795-F8A25CC8hta] => c:\users\work\appdata\local\temp\how_to_decrypt.hta [5913 2020-10-29] () [File not signed] <==== ATTENTION
    2020-10-29 03:42 - 2020-10-29 03:42 - 000005913 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-10-29 03:42 - 2020-10-29 03:42 - 000005913 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-10-29 03:42 - 2020-10-29 03:42 - 000005913 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-10-29 03:42 - 2020-10-29 03:42 - 000005913 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-10-29 03:42 - 2020-10-29 03:42 - 000005913 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\Downloads\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\Documents\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\AppData\LocalLow\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Work\AppData\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\.NET v4.5 Classic\how_to_decrypt.hta
    2020-10-29 03:40 - 2020-10-29 03:40 - 000005913 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\Downloads\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\Documents\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\Desktop\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\AppData\LocalLow\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5\AppData\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\Downloads\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\Documents\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\Desktop\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\AppData\Local\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\Users\.NET v4.5 Classic\AppData\how_to_decrypt.hta
    2020-10-29 03:39 - 2020-10-29 03:39 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-29 03:38 - 2020-10-29 03:38 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-29 03:38 - 2020-10-29 03:38 - 000005913 _____ C:\Users\how_to_decrypt.hta
    2020-10-29 03:38 - 2020-10-29 03:38 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ () C:\Users\Work\AppData\Roaming\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ () C:\Users\Work\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-10-29 03:41 - 2020-10-29 03:41 - 000005913 _____ () C:\Users\Work\AppData\Local\how_to_decrypt.hta
    FirewallRules: [{4424A984-60D4-49C8-960C-662ED0D3D471}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{1F098AE3-6F06-4880-8263-D17561E33B9B}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{54477B43-35EC-4D05-8C89-0C79E59A8153}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{3677673D-F48E-4654-A62C-C48D1B70DE46}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{8BFFC03F-E89F-4D08-A429-5791E8A26F3D}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{7385AF84-1982-4BDE-AF3E-9B80A7358A78}] => (Allow) C:\Users\Work\Downloads\AnyDesk.exe => No File
    FirewallRules: [{5B38F030-CB69-48BB-8584-FA6FBD9B6163}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{E0963CA0-DD4D-415A-B2E5-65A2F66C5F69}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{0237BF75-0AA1-40A7-883A-324A287B556A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{F732A88E-A860-44FB-9CF3-D0F40E5E2D96}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{3AA07442-BCB0-4CEF-AD2C-884FB90A26FC}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{1D66B392-BB84-4B97-AB59-06F89CA97106}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Подготовьте лог лог SecurityCheck by glax24
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,787
Реакции
2,334
Баллы
653
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу