• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик rylock

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Добрый день. Поймал вирус-шифровальщик crylock, все файлы больше 0мб зашифрованы. Нужна помощь
Прикрепляю файлы в архиве
 

Вложения

  • virus.7z
    15.7 KB · Просмотры: 2

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
В каждой папке где побывал вирус остался файл how_to_decrypt.hta
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Здравствуйте!

Образцы зашифрованных файлов в архиве тоже прикрепите.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
отправляю
 

Вложения

  • 11111111111.7z
    462 KB · Просмотры: 1

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Очень надеюсь на вашу помощь.
Подключение было по rdp. Вчера вечером. Утром пришел, а тут такая шляпа. Все теневые копии дисков вычищены, как и точки восстановления
Отключил пока от сети, чтобы дальше на другие пк не пошло
Переставлять систему не хочется. Данных очень много для восстановления. БКП есть, но за последние полгода
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
К сожалению, для этой версии нет расшифровки.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Т.е. только переустановка?
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
А вообще есть надежда, что будет дешифратор?
Если я с вашей помощью вычищу следы и скопирую до лучших времен
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Т.е. только переустановка?
Не обязательно. Активного заражения сейчас нет.

А вообще есть надежда, что будет дешифратор?
Если только злоумышленники сольют ключи (такое случается), но надежды на это крайне мало.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Не обязательно. Активного заражения сейчас нет.


Если только злоумышленники сольют ключи (такое случается), но надежды на это крайне мало.

Не обязательно. Активного заражения сейчас нет.
Я боюсь включу в сеть и пойдет опять заражение
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Что мне сделать, чтобы вычистить следы?
Хочу все таки скопировать данные на всякий так сказать пожарный
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    Task: {07ED8F5E-46A4-466C-8D06-6149A3ABF0BE} - System32\Tasks\ShadowCopyVolume{70a5c54a-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: {2A950D8C-36B9-494A-AE2D-67353F3EB100} - System32\Tasks\ShadowCopyVolume{70a5c54b-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: {3FE26690-2287-4638-9D78-268B160A7764} - System32\Tasks\ShadowCopyVolume{70a5c54c-a930-11e9-80b3-806e6f6e6963} => C:\Windows\system32\vssadmin.exe [146432 2014-11-21] (Microsoft Windows -> Microsoft Corporation)
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54a-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54b-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    Task: C:\Windows\Tasks\ShadowCopyVolume{70a5c54c-a930-11e9-80b3-806e6f6e6963}.job => C:\Windows\system32\vssadmin.exe
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Юрист_3\AppData\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кулакова Н\AppData\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Downloads\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Documents\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\Desktop\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:03 - 2020-11-25 21:03 - 000007313 _____ C:\Users\Кишко\AppData\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Кишко\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:02 - 2020-11-25 21:02 - 000007313 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-11-25 21:01 - 2020-11-25 21:01 - 000007313 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\Downloads\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\Documents\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\admin\AppData\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Downloads\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Documents\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\Desktop\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Roaming\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\LocalLow\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\Local\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\Users\123\AppData\how_to_decrypt.hta
    2020-11-25 21:00 - 2020-11-25 21:00 - 000007313 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{1C3B4BA7-2886-42BC-AC52-0A4701EA6CB7}] => (Allow) LPort=139
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Можете также подсказать версию этой "заразы". чтобы потом мог найти на нее лекарство
 

Вложения

  • Fixlog.txt
    17.1 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Достаточно было один раз выполнить скрипт.

подсказать версию этой "заразы"
Crylock 1.9.2.1

Проверьте уязвимые места системы.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Напоминаю:
Пароли меняйте.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
А как быть с этими хвостами которые остались в виде how_to_decrypt.hta в папках?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Те, что попали в лог, мы удалили. Можете вручную удалить, это всего лишь записки. На всякий случай, несколько сохраните. Если появится дешифровка, они могут понадобится.
 

БАХА

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Те, что попали в лог, мы удалили. Можете вручную удалить, это всего лишь записки. На всякий случай, несколько сохраните. Если появится дешифровка, они могут понадобится.
Хорошо. Спасибо
 
Сверху Снизу