файлы зашифрованы в Cryakl с расширением *.cbf , Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

RSS

Сообщений: 1

Регистрация: 06.05.2014

Размещено 06.05.2014 14:50:06

Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *[email protected]* , Cryakl *cbf

------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 11 12 13 14 15 ... 25 След.

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 13.03.2015 13:28:43

проверьте наличие теневых копий этой программой
http://www.shadowexplorer.com/downloads.html

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 14.03.2015

Размещено 14.03.2015 12:39:56

Здравствуйте. Подскажите а папки и файлы с рабочего стола тоже сохраняются в в теневых копиях, если да то где смотреть?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 14.03.2015 14:09:12

да, сохраняются,

смотреть здесь
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow
или здесь
http://www.oszone.net/9463
или здесь
http://www.outsidethebox.ms/9960/#versions

Изменено: santy - 15.03.2018 10:06:36

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.03.2015

Размещено 17.03.2015 10:18:06

Добрый день. Оказался заложником ВАТНИКА 91 . Зашифрованы все файлы ворд и фото с картинками. вымогает деньги. Помогите расшифровать все фалы.

Прикрепленные файлы

COMP_2015-03-17_10-08-59.TXT.rar (3.09 МБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 17.03.2015 10:51:25

1. поищите среди удаленных файлов или в карантине этот файл

Цитата
%SystemDrive%\PROGRAM FILES (X86)\XEXE\ENGINE.EXE

если файл сохранился, вышлите его в архиве с паролем infected на [email protected]
+
заражение было из электронной почты, вышлите сюда же это письмо, вложение, или ссылку на файл из сети.

2. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\IEPLUGINSERVICES\PLUGINSERVICE.EXE addsgn 1A02A89A5583338CF42B627DA804DEC9E946303A4536D32FD348B198405D3D68379CBF7332DE5CC2FA8342A4B86041C185D06A1A56DAB0239752A82580062300 8 Win32/ELEX.AV [ESET-NOD32] delall %SystemDrive%\PROGRAM FILES (X86)\XEXE\ENGINE.EXE del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALEGAMIEURT.BAT del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT hide %SystemDrive%\PROGRAM FILES (X86)\YOUR UNINSTALLER! PRO\UNINSTALL.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1410628137&FROM=SIEN&UID=HITACHIXHDS721050CLA362_JP1570HJ2A5PM... delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1410628137&FROM=SIEN&UID=HITACHIXHDS721050CLA362_JP1570HJ2... delref %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS del %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS delref HTTP://WWW.QIP.RU/ ; Pandora Service exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX REGT 27 REGT 28 REGT 29 ;deltmp ;delnfr areg ;-------------------------------------------------------------

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\IEPLUGINSERVICES\PLUGINSERVICE.EXE
addsgn 1A02A89A5583338CF42B627DA804DEC9E946303A4536D32FD348B198405D3D68379CBF7332DE5CC2FA8342A4B86041C185D06A1A56DAB0239752A82580062300 8 Win32/ELEX.AV [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES (X86)\XEXE\ENGINE.EXE
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALEGAMIEURT.BAT
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
hide %SystemDrive%\PROGRAM FILES (X86)\YOUR UNINSTALLER! PRO\UNINSTALL.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1410628137&FROM=SIEN&UID=HITACHIXHDS721050CLA362_JP1570HJ2A5PM...
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1410628137&FROM=SIEN&UID=HITACHIXHDS721050CLA362_JP1570HJ2...
delref %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS
del %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS

delref HTTP://WWW.QIP.RU/
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
REGT 27
REGT 28
REGT 29
;deltmp
;delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению данных: проверьте возможность восстановить документы из теневой копии

Изменено: santy - 20.11.2017 10:07:50

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.03.2015

Размещено 17.03.2015 16:20:44

Все сделал автоматически перезагрузилс компьютер и все файлы так же зашифрованы. И почему то не спрашивает деинсталцию программ.

Изменено: михаил белоусоы - 20.11.2017 10:07:50

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 17.03.2015 16:39:28

проверьте возможность восстановления документов из теневой копии.

[ Как создать образ автозапуска? ]

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 17.03.2015 16:58:23

увы, теневые копии отсутствуют ,восстановление невозможно.

по расшифровке документов пишите в техническую поддержку [email protected]
но там обращение будет принято только при наличие лицензии на антивирус.

(как и в любом другом вирлабе)

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.03.2015

Размещено 17.03.2015 17:02:08

А вообще это рельно расшифровать?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 17.03.2015 17:11:14

погуглите на тему расшифровка файлов, зашифрованных в cbf.
скорее всего, расшифровки на сегодня нет по новым версиям этого шифратора.
новя уже версия шифратора. шифрует не только документ, но и заголовок файла.

Код
aiouagnsyekpwbhntyfk.qxd.id-{AFKPVAFJOSXCHLQVAFJOTYCHLQUZEJNSXCHL-17.03.2015 20@35@306711532}[email protected]

это инсталлятор
https://www.virustotal.com/ru/file/233d65eb6d826aac1670d1adec0a8470de7df2301b7c0617a2f5d37d4bd4ff28/...

это исполняемый файл шифратора
https://www.virustotal.com/ru/file/de85da2556cd1daac709642cf55762b284937f652b3154ece2a07d8ce98e4815/...
здесь как раз наиболее точен Дрвеб, определив его как
DrWeb Trojan.Encoder.567 20150317

Изменено: santy - 20.11.2017 10:08:57

[ Как создать образ автозапуска? ]

Пред. 1 ... 11 12 13 14 15 ... 25 След.