• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки помощь в расшифровке CryLock @rudecrypt

marti

Новый пользователь
Сообщения
7
Реакции
0
Добрый день, прошу помощи в расшифровке, сегодня ночью запустился шифровальшик, во вложении примеры файлов
 

Вложения

Здравствуйте!

К сожалению, именно для этой версии нет расшифровки.
Соберите логи Farbar по правилам раздела. Посмотрим, не осталось ли хвостов.
 
Добрый день, во вложении логи FarBar
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\mironova\AppData\Local\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\Downloads\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\Documents\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\Desktop\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\AppData\Roaming\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\AppData\LocalLow\how_to_decrypt.hta
    2023-06-01 02:20 - 2023-06-01 02:20 - 000006320 _____ C:\Users\konstantin\AppData\how_to_decrypt.hta
    2023-06-01 02:19 - 2023-06-01 02:19 - 000006320 _____ C:\Users\konstantin\AppData\Local\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\Downloads\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\Documents\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\Desktop\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\Roaming\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\LocalLow\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\Local\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\karina\AppData\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\Default\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2023-06-01 02:18 - 2023-06-01 02:18 - 000006320 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\Default\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\alina\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\alina\Downloads\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\alina\Documents\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\alina\Desktop\how_to_decrypt.hta
    2023-06-01 02:17 - 2023-06-01 02:17 - 000006320 _____ C:\Users\alina\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\alina\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\alina\AppData\Roaming\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\alina\AppData\LocalLow\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\alina\AppData\Local\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\Users\alina\AppData\how_to_decrypt.hta
    2023-06-01 02:16 - 2023-06-01 02:16 - 000006320 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2023-06-01 02:15 - 2023-06-01 02:15 - 000006320 _____ C:\Users\how_to_decrypt.hta
    2023-06-01 02:15 - 2023-06-01 02:15 - 000006320 _____ C:\ProgramData\how_to_decrypt.hta
    2023-05-15 11:01 - 2019-12-26 13:18 - 000000000 ____D C:\Program Files\RDP Wrapper
    FirewallRules: [{91041C7E-33E6-4CD7-9BED-93560066064B}] => (Allow) LPort=3389
    FirewallRules: [{791B4B46-88E2-4CC6-A8B7-628CDFEEBF53}] => (Allow) LPort=3389
    FirewallRules: [{10BA0397-B323-45C2-9043-984B051140EF}] => (Allow) LPort=3389
    FirewallRules: [{866E3278-6BC9-44DC-BA98-88CAE251997F}] => (Allow) LPort=5900
    FirewallRules: [{6DFC268A-8F31-4016-8A05-0409687D45D7}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Не открывайте доступ по RDP напрямую, только через VPN.
 
Готово, лог во вложении
 

Вложения

Проверьте уязвимые места и устаревшее критическое ПО:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Примите к сведению:
--------------------------- [ OtherUtilities ] ----------------------------
Файлы поддержки программы установки Microsoft SQL Server 2008 v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
Собственный клиент Microsoft SQL Server 2012 v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Объекты управления Microsoft SQL Server 2008 R2 v.10.51.2500.0 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Для верности проверим ещё так:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Удалите (поместите в карантин) только:
Код:
Раздел реестра:
PUP.Optional.UBar, HKU\S-1-5-21-2985640591-679813042-2549728781-1000\SOFTWARE\uBar_, Проигнорировано пользователем, 6760, 396469, 1.0.70285, , ame, , ,

Файл:
Generic.Malware.AI.DDS, C:\WINDOWS\TEMP\TEST.DAT, Проигнорировано пользователем, 1000002, 0, 1.0.70285, E986A8384AA72CE0D15A2601, dds, 02321845, CC470D06E9AFC9A7C0B395274B02AC88, 81F84A27C49DDD56C799D935787BECB989A6E5B8E000E76E21C82B6CDE4C42FF
Bladabindi.Backdoor.Bot.DDS, C:\USERS\Пользователь\RDPWRAP-V1.6.2\RDPWINST.EXE, Проигнорировано пользователем, 1000002, 0, 1.0.70285, 89F546F58923488E3B61594B, dds, 02321845, 3288C284561055044C489567FD630AC2, AC92D4C6397EB4451095949AC485EF4EC38501D7BB6F475419529AE67E297753
HackTool.BruteForce, C:\USERS\TEST\DOCUMENTS\RESTORE RDP\ACCOUNTRESTORE.EXE, Проигнорировано пользователем, 563, 1103263, 1.0.70285, BC98A43C2B308E7279E6F217, dds, 02321845, 62C907F41D080319718A82AC2E80C1D0, 3902165D0645AFDB4B7D95F5CC55D65ECEE17D3B77A31D51170E0BEAE3FD296A
Malware.AI.4250817344, C:\USERS\Пользователь\RDPWRAP-V1.6.2\RDPCONF.EXE, Проигнорировано пользователем, 1000000, -44149952, 1.0.70285, 01A5D9D45D9710FAFD5E5340, dds, 02321845, 03FB8E478F4BA100D37A136231FA2F78, 3C0E5D6863B03283AFDA9BD188501757D47DC57FC4BBA2BDBB0D9BAA34487FE0
 
На этом всё. Если решите сохранить повреждённые файлы в надежде на появление расшифровки, также сохраните папку C:\FRST

Если речь о базах данных, посмотрите эту тему:
 
  • Like
Реакции: akok
Назад
Сверху Снизу