• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик rylock [fairexchange@qq.com]

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Добрый день. Поймал вирус-шифровальщик crylock, все файлы больше 0мб зашифрованы. Нужна помощь
Прикрепляю файлы в архиве
 

Вложения

  • virus.7z
    15.7 KB · Просмотры: 2
В каждой папке где побывал вирус остался файл how_to_decrypt.hta
 
Здравствуйте!

Образцы зашифрованных файлов в архиве тоже прикрепите.
 
отправляю
 

Вложения

  • 11111111111.7z
    462 KB · Просмотры: 3
Очень надеюсь на вашу помощь.
Подключение было по rdp. Вчера вечером. Утром пришел, а тут такая шляпа. Все теневые копии дисков вычищены, как и точки восстановления
Отключил пока от сети, чтобы дальше на другие пк не пошло
Переставлять систему не хочется. Данных очень много для восстановления. БКП есть, но за последние полгода
 
Последнее редактирование:
К сожалению, для этой версии нет расшифровки.
 
А вообще есть надежда, что будет дешифратор?
Если я с вашей помощью вычищу следы и скопирую до лучших времен
 
Последнее редактирование:
Т.е. только переустановка?
Не обязательно. Активного заражения сейчас нет.

А вообще есть надежда, что будет дешифратор?
Если только злоумышленники сольют ключи (такое случается), но надежды на это крайне мало.
 
Не обязательно. Активного заражения сейчас нет.


Если только злоумышленники сольют ключи (такое случается), но надежды на это крайне мало.

Не обязательно. Активного заражения сейчас нет.
Я боюсь включу в сеть и пойдет опять заражение
 
Что мне сделать, чтобы вычистить следы?
Хочу все таки скопировать данные на всякий так сказать пожарный
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    Task: {07ED8F5E-46A4-466C-8D06-6149A3ABF0BE} - System32\Tasks\ShadowCopyVolume{70a5c54a-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: {2A950D8C-36B9-494A-AE2D-67353F3EB100} - System32\Tasks\ShadowCopyVolume{70a5c54b-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: {3FE26690-2287-4638-9D78-268B160A7764} - System32\Tasks\ShadowCopyVolume{70a5c54c-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54a-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54b-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54c-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Кишко\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\Downloads\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\Documents\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Downloads\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Documents\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Desktop\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{1C3B4BA7-2886-42BC-AC52-0A4701EA6CB7}] => (Allow) LPort=139
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Можете также подсказать версию этой "заразы". чтобы потом мог найти на нее лекарство
 

Вложения

  • Fixlog.txt
    17.1 KB · Просмотры: 1
Достаточно было один раз выполнить скрипт.

подсказать версию этой "заразы"
Crylock 1.9.2.1

Проверьте уязвимые места системы.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Напоминаю:
Пароли меняйте.
 
А как быть с этими хвостами которые остались в виде how_to_decrypt.hta в папках?
 
Те, что попали в лог, мы удалили. Можете вручную удалить, это всего лишь записки. На всякий случай, несколько сохраните. Если появится дешифровка, они могут понадобится.
 
Те, что попали в лог, мы удалили. Можете вручную удалить, это всего лишь записки. На всякий случай, несколько сохраните. Если появится дешифровка, они могут понадобится.
Хорошо. Спасибо
 
Назад
Сверху Снизу