• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус @Fileraptor [Raptorfiles@yahooweb.co].[C5A019F3-6CAF97D4]

Статус
В этой теме нельзя размещать новые ответы.
R

RSSR_ProJect

Новый пользователь
Сообщения
22
Реакции
0
Помогите пожалуйста расшифровать файлы
 
Здравствуйте!

Прочтите и выполните правила раздела.
Нужное прикрепите к следующему сообщению в текущей теме.
 
Тут результате, в архивы примеры зашифрованых фалов и письмо о выкупе
 

Вложения

RSSR_ProJect написал(а):
в архивы примеры зашифрованых фалов и письмо о выкупе
Нажмите для раскрытия...
Пожалуйста, перепакуйте ещё раз этот архив и добавьте пароль на распаковку (не забудьте этот пароль сообщить). Иначе мне не даёт скачать прокси.
 
Вынужден огорчить. Это Crylock 2.0, но именно для этой версии расшифровки нет.
Можем только помочь с очисткой системы от его следов.
 
Sandor написал(а):
Вынужден огорчить. Это Crylock 2.0, но именно для этой версии расшифровки нет.
Можем только помочь с очисткой системы от его следов.
Нажмите для раскрытия...
А в чем заключатся очистка ?Все зараженные файлы уничтожатся ?
 
Конечно нет. Только вы путаете термины - зашифрованные файлы при очистке не будут затронуты.
 
Sandor написал(а):
Конечно нет. Только вы путаете термины - зашифрованные файлы при очистке не будут затронуты.
Нажмите для раскрытия...
Да, я в этом честно ничего не понимаю, вы поможете удалить этот шифратор, но файлы как были зашифрованные так и останутся ?
 
Сам шифратор скорее всего уже удалён. Мы очистим его следы (и возможные другие вредоносные следы).
Да, зашифрованные останутся. Если речь идёт о базах данных, попробуйте обратиться к S.lab
 
Платить хакерам не вариант, есть вероятность что они пришлют дешифратор?
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
VirusTotal: C:\Users\Бухгалтер\Documents\Registry.exe
(explorer.exe ->) () [Файл не подписан] C:\Users\Бухгалтер\Documents\Registry.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3365961051-4004144061-1133008489-1008\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла)
HKU\S-1-5-21-3365961051-4004144061-1133008489-500\...\MountPoints2: {344965ab-d68d-11e8-ba85-54bf6464876b} - "I:\autorun.exe" 
HKU\S-1-5-18\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла)
2022-10-01 19:01 - 2022-10-01 19:01 - 000006031 _____ C:\Users\Бухгалтер\how_to_decrypt.hta
2022-10-01 19:01 - 2022-10-01 19:01 - 000006031 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\Downloads\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\Documents\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\Desktop\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\AppData\LocalLow\how_to_decrypt.hta
2022-10-01 19:00 - 2022-10-01 19:00 - 000006031 _____ C:\Users\Бухгалтер\AppData\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-10-01 18:58 - 2022-10-01 18:58 - 000006031 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-10-01 18:57 - 2022-10-01 18:57 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
2022-10-01 17:09 - 2022-07-16 17:55 - 000205312 _____ C:\Users\Бухгалтер\Documents\Registry.exe
AlternateDataStreams: C:\Windows\system32\XLLEX.DLL:com.apple.metadatakMDItemDownloadedDate [26]
AlternateDataStreams: C:\Windows\system32\XLLEX.DLL:com.apple.metadatakMDItemWhereFroms [300]
AlternateDataStreams: C:\Windows\system32\XLLEX.DLL:com.apple.quarantine [57]
AlternateDataStreams: C:\Users\Public\.DS_Store[Raptorfiles@yahooweb.co].[C5A019F3-6CAF97D4]:AFP_AfpInfo [122]
AlternateDataStreams: C:\Users\Public\Downloads\.DS_Store[Raptorfiles@yahooweb.co].[C5A019F3-6CAF97D4]:AFP_AfpInfo [122]
AlternateDataStreams: C:\Users\ЛебедеваТН\Desktop\Прайс Экспорт 2020 .pdf:com.apple.lastuseddate#PS [34]
AlternateDataStreams: C:\Users\ЛебедеваТН\Desktop\Прайс Экспорт 2020 .pdf:com.apple.metadatakMDLabel_c7nc6v7nfippyp3eqct253mzdi [89]
AlternateDataStreams: C:\Users\ЛебедеваТН\Desktop\Прайс Экспорт 2020 .pdf:com.apple.metadata_kMDItemUserTags [86]
AlternateDataStreams: C:\Users\ЛебедеваТН\Desktop\Прайс Экспорт 2020 .pdf:com.apple.quarantine [20]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt (последний первый раз получился неполный).
 
Оказалось в сети, был компютер, на котором была открыта общая папка к зараженному компу, в этой папке так же зашифровались файлы, на остальном коммпе нет. Комп так же надо лечить?
 
Sandor написал(а):
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению
Нажмите для раскрытия...
Это забыли.

По второму ПК, если только в расшаренной папке зашифровано, то можно не лечить. Только сменить пароль на доступ к папке.
 
Ещё один скрипт выполните, пожалуйста.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
FirewallRules: [NPS-NPSSvc-In-UDP-1645] => (Allow) LPort=1645
FirewallRules: [NPS-NPSSvc-In-UDP-1646] => (Allow) LPort=1646
FirewallRules: [NPS-NPSSvc-In-UDP-1812] => (Allow) LPort=1812
FirewallRules: [NPS-NPSSvc-In-UDP-1813] => (Allow) LPort=1813
FirewallRules: [{C947DCA4-E38B-4CCA-B6EA-E092BF162C6F}] => (Allow) LPort=475
FirewallRules: [{E65FF01A-C628-4565-B733-8D9081365AD1}] => (Allow) LPort=475
FirewallRules: [{A8042206-019E-4BAC-955B-9F7F560CACDC}] => (Allow) LPort=10502
FirewallRules: [{5862DC21-6FFB-4033-B83E-1FEBF9889FD6}] => (Allow) LPort=8080
Zip: c:\FRST\Quarantine\
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
На рабочем столе появится архив Date_Time.zip (Дата_Время), прикрепите его к следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

U
Решена Вирус/майнер? Творит что хочет..
2
Ответы
24
Просмотры
209
Sandor
Sandor
IamNotTony
  • Закрыта
Закрыто Как удалить NET:MALWARE.URL вирус?
Ответы
5
Просмотры
104
Sandor
Sandor
Z
  • Закрыта
Закрыто Подхватил майнер вирус на cpu, логи FRST
Ответы
5
Просмотры
160
Sandor
Sandor
Назад
Сверху Снизу