• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Нужна помощь с расшифровкой после вируса (darkmask@mailfence.com][fervis)

Статус
В этой теме нельзя размещать новые ответы.

Hulk777

Новый пользователь
Сообщения
2
Реакции
0
Добрый день! Нужна помощь с расшифровкой файлов после вируса CryLock. На выходных компьютер был включён, но никто не работал. При попытке зайти появилось полноэкранное чёрное окно с требование ввести пароль. Диспетчером был снят процесс, и только после этого антивирус Total 360 сообщил что найден вирус. Единственное что было за выходные, это открытый во внешний мир RDP. Прилагаю архив с зашифрованными файлами и то что нашел в папке Документы\Музыка. В архиве "Music" есть текстовый файл "Advanced_IP_Scanner_2.5.3850.exe.txt" соответствующий одноименному файлу но который пришлось удалить так как архив из-за размера не прикреплялся к данному сообщению.

Заранее спасибо.
 

Вложения

  • Virus_darkmask_mailfence.com_fervis.7z
    3 MB · Просмотры: 3
  • Music.7z.7z
    1.6 MB · Просмотры: 2
Взломали через RDP, смените пароли пользователей. Система под переустановку или будем чистить?

По поводу расшифровки, порадовать нечем, расшифровать пока не получится.
 
Да я понял что взлом через RDP. Чистить. Очень хотелось бы расшифровать, так как это комп секретаря и там много докуемнтов за длительный период и никаких резервных копий ((
 
C:\Users\User\Documents\scptres.vbs - ваше?

Проверьте список пользователей, нет ли лишних администраторов
systembackup (S-1-5-21-2490859091-959554914-4052778551-1001 - Administrator - Enabled)
User (S-1-5-21-2490859091-959554914-4052778551-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-2490859091-959554914-4052778551-500 - Administrator - Disabled)

Очень хотелось бы расшифровать
Не нашими силами, дешифровщика не было в сети. Попробуйте обратиться в вирлабы дрвеб и ЛК.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2490859091-959554914-4052778551-1000\...\Run: [F8256023-65728F2E] => "C:\Users\User\AppData\Local\Temp\svchjb.exe" -id "F8256023-65728F2E" -wid "fervis" <==== ATTENTION
    HKU\S-1-5-21-2490859091-959554914-4052778551-1000\...\Run: [Desktop_Locker_456] => "C:\Users\User\Music\Desktop_Locker.exe" CB07A082D039A34E22016750J7524E2B4A224740AAF64D5FAD08520ACDF9F8912E7DE
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\systembackup\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-11 22:26 - 2020-10-11 22:26 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\Users\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-11 22:25 - 2020-10-11 22:25 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-10-11 22:27 - 2020-10-11 22:27 - 000005913 _____ () C:\Users\User\AppData\Local\how_to_decrypt.hta
    CustomCLSID: HKU\S-1-5-21-2490859091-959554914-4052778551-1000_Classes\CLSID\{0BCD810B-DD0C-4D4C-8258-265001DABFEB}\InprocServer32 -> C:\Users\User\AppData\Local\Temp\v8_F945_8.dll => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу