Решена без расшифровки Расшифровка CryLock

[SouRxD]

Несколько месяцев назад словил шифровальщика CryLock 2.0.0.0
После этого систему снес, поставил чистую, необходимые файлы сохранил на будущее. Вроде как пишут что появилась какая то возможность расшифровать. В архиве лог из инструкции, пару файлов оригинальных и зашифрованных.

 

[Sandor]

Здравствуйте!

Прикрепите в архиве ещё несколько зашифрованных файлов популярных форматов, картинки, офисные документы и пр.
Оригиналы этих файлов не нужны.

 

[SouRxD]

Доброго времени суток! Вот зашифрованные офисные

 

[Sandor]

Но вы прикрепили только два файла конфигурации 1С. Я и прошу несколько других, распространенных форматов.

 

[SouRxD]

Но вы прикрепили только два файла конфигурации 1С. Я и прошу несколько других, распространенных форматов.

Нашел и прикрепил выше pdf, txt, ods (openoffice), jpg.

 

[Sandor]

Прошу прощения, вынужден огорчить. Расшифровки для именно этой почты нет

 

[SouRxD]

Прошу прощения, вынужден огорчить. Расшифровки для именно этой почты нет

Понял вас. Ну чтож ,значит не судьба. Спасибо за оперативный ответ

 

[Sandor]

Можем разве что некоторый мусор почистить по предоставленным логам FRST, если хотите.

 

[SouRxD]

Можем разве что некоторый мусор почистить по предоставленным логам FRST, если хотите.

да, что именно и каким образом?

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69a1-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69b7-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {6b483478-120a-11ed-a76a-50465d4eb677} - "E:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{ACFB6E04-8D02-485A-9D2E-4BE446EE4C8F}] => (Allow) LPort=21009
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[SouRxD]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69a1-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69b7-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {6b483478-120a-11ed-a76a-50465d4eb677} - "E:\HiSuiteDownLoader.exe"
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{ACFB6E04-8D02-485A-9D2E-4BE446EE4C8F}] => (Allow) LPort=21009
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Спасибо

 

[Sandor]

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Покажите.

 

[SouRxD]

Покажите.

Результаты исправления Farbar Recovery Scan Tool (x64) Версия: 23-10-2022
Запущено с помощью OLEG (26-10-2022 14:16:01) Run:1
Запущено из C:\Users\OLEG\Downloads
Загруженные профили: OLEG
Режим загрузки: Normal
==============================================

fixlist содержимое:
*****************
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69a1-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {518d69b7-1942-11ed-a76e-50465d4eb677} - "G:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\...\MountPoints2: {6b483478-120a-11ed-a76a-50465d4eb677} - "E:\HiSuiteDownLoader.exe"
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{ACFB6E04-8D02-485A-9D2E-4BE446EE4C8F}] => (Allow) LPort=21009
EmptyTemp:
Reboot:
End::
*****************

Процессы успешно завершились.
SystemRestore: On => завершено
Точка восстановления была успешно создана.
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => значение успешно восстановлен
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => значение успешно восстановлен
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{518d69a1-1942-11ed-a76e-50465d4eb677} => успешно удалены
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{518d69b7-1942-11ed-a76e-50465d4eb677} => успешно удалены
HKU\S-1-5-21-3983406660-2141421974-3309639853-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b483478-120a-11ed-a76a-50465d4eb677} => успешно удалены
HKLM\SOFTWARE\Policies\Mozilla => успешно удалены
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{ACFB6E04-8D02-485A-9D2E-4BE446EE4C8F}" => успешно удалены

=========== EmptyTemp: ==========

FlushDNS => завершено
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 87816985 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 146161013 B
Edge => 52791 B
Chrome => 1655128935 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 69354 B
NetworkService => 69354 B
OLEG => 1432546609 B

RecycleBin => 317 B
EmptyTemp: => 3.1 GB временные данные Удалены

================================


Системе требуется перезагрузка.

==== Конец от Fixlog 14:19:37 ====

 

[Sandor]

Спасибо, только можно было вложенным файлом показать

Удалите программу:
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.