• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. hopeandhonest@smime.ninja Crylock 2.0

Статус
В этой теме нельзя размещать новые ответы.
R

romain2021

Новый пользователь
Сообщения
6
Реакции
0
Добрый день. Уже год как жду лекарство. Случайно увидел. Надеюсь поможете. Спасибо
 

Вложения

  • Addition.txt
    87.5 KB · Просмотры: 2
  • FRST.txt
    39.3 KB · Просмотры: 2
  • virus_file.rar
    1,012.3 KB · Просмотры: 1
И еще вроде код-ключ этот edbb1b0c-be08ebc7
 
Здравствуйте!

Расшифровка есть. Но сначала чистим систему.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\...\MountPoints2: {01987040-0d1f-11eb-beaf-bc5ff45b4222} - "K:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\...\MountPoints2: {22eb6a7e-8abb-11ea-be80-bc5ff45b4222} - "K:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\...\MountPoints2: {6c06428f-484c-11ea-be62-bc5ff45b4222} - "O:\autorun.exe" 
HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\...\MountPoints2: {c8bcf7e5-0c8a-11eb-bead-dae85eaec930} - "K:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
CHR HKU\S-1-5-21-3830415815-1485157126-4077159638-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
2021-03-09 18:33 - 2021-03-09 18:33 - 000005957 _____ () C:\Users\Roman\AppData\Roaming\how_to_decrypt.hta
2021-03-09 18:32 - 2021-03-09 18:32 - 000005957 _____ () C:\Users\Roman\AppData\Roaming\Microsoft\how_to_decrypt.hta
2021-03-09 18:31 - 2021-03-09 18:31 - 000005957 _____ () C:\Users\Roman\AppData\Local\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
Hosts:
FirewallRules: [{BA519BDC-C51C-41AC-9F0D-13EEE3EFF46C}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Добрый вечер. Прикрепляю фал. Спасибо
 

Вложения

  • Fixlog.txt
    6.3 KB · Просмотры: 2
Проверьте личные сообщения (значок конверта в правом верхнем углу).
 
доброй ночи. Всё вылечилось. Попробовал на одном файле, бэкап не стал делать. И все подключил и починил архив старый. Думал через лет 5 к нему вернусь. Спасибо огромное.. Ю
 
Отлично!

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
И малый нюанс. В основном вылечилось. Но не всё. Не критичо. Главное семейные фото вытащил. Начал подключать жесткие диски другие. Хотел бы все доделать но если есть возможность.
Интерент отключал на всякий случай. Спасибо
 

Вложения

  • virus-3.rar
    79.1 KB · Просмотры: 1
Отправил следующий ключ.
 
Огромное спасибо! Все вылечилось.
История такова, что сперва просили 3000 usd, потом 1000, потом этой весной до 300 usd сторговались. Хотел было до НГ как-то решить, но тут санкции и с битком не связывался. И тут случайно Вы.
Muchas gracias!!!!
 
И это хорошо!
Чтоб в дальнейшем предотвратить подобное, выполните рекомендации из сообщения №7.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу