• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик CryLock 2.0.0 зашифровал все файлы.

Статус
В этой теме нельзя размещать новые ответы.

Alex22

Новый пользователь
Сообщения
3
Реакции
0
Шифровальщик CryLock 2.0.0 зашифровал все файлы. Если возможно, помогите с расшифровкой.
 

Вложения

Здравствуйте!

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-80103531-2647236927-3508730776-1004\...\Run: [160195ED-38CE8FA4hta] => C:\Users\aFUI1!\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-31] () [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\aFUI1!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-31] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/11956636","hxxps://www.google.com.ua/","hxxp://www.delta-homes.com/?type=hp&ts=1432124667&z=10554c9877a41043782d11dg4z5ccobg9o7z2q0wfc&from=wpm05203&uid=WDCXWD2500BEVT-24A23T0_WD-WXF1A30P6015P6015","hxxp://www.delta-homes.com/?type=hp&ts=1442916120&z=1a9f99f7cfdb810c27111e9g3zfz9obtdg0q7g8o4e&from=ient07031&uid=WDCXWD2500BEVT-24A23T0_WD-WXF1A30P6015P6015","hxxp://www.google.com/"
    2022-07-31 14:04 - 2022-07-31 14:04 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-31 14:04 - 2022-07-31 14:04 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\Downloads\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\Documents\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\Desktop\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\AppData\Roaming\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\AppData\LocalLow\how_to_decrypt.hta
    2022-07-31 14:01 - 2022-07-31 14:01 - 000001794 _____ C:\Users\aFUI1!\AppData\how_to_decrypt.hta
    2022-07-31 14:00 - 2022-07-31 14:00 - 000001794 _____ C:\Users\aFUI1!\AppData\Local\how_to_decrypt.hta
    2022-07-31 13:33 - 2022-07-31 13:33 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-31 13:33 - 2022-07-31 13:33 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Хорошо.
Инструкция по расшифровке отправлена вам личным сообщением.

1659515652738.webp
 
Спасибо за помощь. Все расшифровалось.
 
Отлично!

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу