Решена без расшифровки Шифровальщик Cryakl по RDP

[Dima_St97]

Добрый день!

Вчера развернул RDP на домашнем компьютере. Сегодня прилетел шифровальщик... Как только заметил уже зашифровалась половина файлов. Тело не обнаружил. Проверял каспером, ничего не нашёл. По виду похоже на Cryakl, но не уверен. Вымогатель требует 1000$. На контакт не идёт. Понятное дело такие деньги платить не хочется. Помогите пожалуйста! Я уж лучше честных людей денюжкой отблагодарю, чем всяких вредителей.

 

[akok]

По поводу расшифровки подождите ответа @thyrex Хотя это скорее всего версия которая не поддается взлому.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2020-05-06 19:30 - 2020-05-06 19:30 - 000006035 _____ C:\Users\Марьяна\Downloads\how_to_decrypt.hta
  2020-05-06 19:30 - 2020-05-06 19:30 - 000006035 _____ C:\Users\Марьяна\Documents\how_to_decrypt.hta
  2020-05-06 19:30 - 2020-05-06 19:30 - 000006035 _____ C:\Users\Марьяна\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2020-05-06 19:29 - 2020-05-06 19:29 - 000006035 _____ C:\Users\Марьяна\AppData\LocalLow\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\Documents\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
  2020-05-06 19:25 - 2020-05-06 19:25 - 000006035 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2020-05-06 19:24 - 2020-05-06 19:24 - 000006035 _____ C:\Users\Все пользователи\how_to_decrypt.hta
  2020-05-06 19:24 - 2020-05-06 19:24 - 000006035 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
  2020-05-06 19:24 - 2020-05-06 19:24 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2020-05-06 19:24 - 2020-05-06 19:24 - 000006035 _____ C:\ProgramData\how_to_decrypt.hta
  2020-05-06 19:24 - 2020-05-06 19:24 - 000006035 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  2020-05-06 19:29 - 2020-05-06 19:29 - 000006035 _____ () C:\Users\Марьяна\AppData\Roaming\Microsoft\how_to_decrypt.hta
  ShellIconOverlayIdentifiers-x32: [     MailRuDiskoIconOverlay0] -> {05EEE316-3AD4-4459-922B-B1CA88962F14} => C:\Users\Марьяна\AppData\Local\Mail.Ru\Disk-O\CloudShell32.dll -> No File
  ShellIconOverlayIdentifiers-x32: [     MailRuDiskoIconOverlay1] -> {B5E0E0D5-A185-4D82-BFEE-3C51052EEA82} => C:\Users\Марьяна\AppData\Local\Mail.Ru\Disk-O\CloudShell32.dll -> No File
  ShellIconOverlayIdentifiers-x32: [     MailRuDiskoIconOverlay2] -> {66FED18D-FC3D-4012-A8B3-41E77F6DCA5A} => C:\Users\Марьяна\AppData\Local\Mail.Ru\Disk-O\CloudShell32.dll -> No File
  ShellIconOverlayIdentifiers-x32: [     MailRuDiskoIconOverlay3] -> {55FED18D-FC3D-6019-A8B3-41E44F6DCA1A} => C:\Users\Марьяна\AppData\Local\Mail.Ru\Disk-O\CloudShell32.dll -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Да, это версия 1.9.2.1, для нее нет возможности дешифровки данных.

 

[Dima_St97]

Да, это версия 1.9.2.1, для нее нет возможности дешифровки данных.

Лог отправлю чуть позже. Спасибо за оперативный ответ! У меня есть ещё буквально пару вопросов. Дешифровщика нет на данный момент? Есть вероятность что в будущем дешифратор сделают и можно будет декодировать файлы? И сразу ещё один вопрос. Если ответ на первый вопрос положительный и разработка ведётся, то я могу как то поддерживать стимул кодеров которые этим занимаются? Файлы действительно очень важные и поэтому я бы хотел помочь, хоть как-то, развитию вопроса по избавлению от этой гадости.

 

[thyrex]

При простом бруте нужно найти один из 256^32 степени вариантов. Надеюсь не нужно объяснять, каким огромным является это число. Ответы на Ваши вопросы становятся очевидными.