файлы зашифрованы в Cryakl с расширением *.cbf , Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

RSS

Сообщений: 1

Регистрация: 06.05.2014

Размещено 06.05.2014 14:50:06

Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *[email protected]* , Cryakl *cbf

------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 16 17 18 19 20 ... 25 След.

Сообщений: 1

Регистрация: 25.05.2015

Размещено 25.05.2015 12:16:53

По почте пришло письмо от судебных приставов.Раскрыл его. В результате все текстовые файлы закодировались.
На рабочем столе появилась вывеска. СМ приложение.Что делать?

Прикрепленные файлы

ВИРУС.JPG (137.74 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.05.2015 16:18:37

1. добавьте образ автозапуска системы для очистки системы
http://forum.esetnod32.ru/forum9/topic2687/

2. проверьте наличие на дисках теневых копий документов.
если копии есть и живые и чистые, то восстановить доки можно из теневых копий.

3. если необходима расшифровка документов, тогда при наличие лицензии на наш антиврус обращайтесь в техподдержку
[email protected]

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.05.2015

Размещено 28.05.2015 10:20:58

После прочтения эл-письма, с почты mail.ru, сотрудницей, все документы на рабочем столе зашифровались в файлы типа:
" [email protected] 0.0.1.0.id-HIIXXCDUARIZFWNEKBHYEVCTPQXOKLSJEVMD-28.05.2015 10@20@353692 "

1) сделал образ автозапуска
2) создал архив с вирусом
3) создал архив с заставкой + зашифрованными файлами (http://rghost.ru/69MpFndl4)

Изменено: Никита Калинин - 08.11.2017 06:21:01

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.05.2015 10:40:35

образ автозапуска добавьте сюда по ссылке или через вложение.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.05.2015

Размещено 28.05.2015 11:19:14

1) образ автозапуска (http://rghost.ru/private/8nqRrZvXH/268fb0c443260a9ee1a000979a674b4c)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.05.2015 11:47:37

1. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\FLASHCODEC.EXE addsgn 9A5C4EDA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC1FF99B16274EC014BB280392D02846D3461649FA7DDFE97255DAB02C2D77A42F85634C1A 8 Crykl.CL zoo %SystemDrive%\PROGRAM FILES\ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ РФ\АРХИВНЫЙ ВИДЕО ДОКУМЕНТ\FLASHCODEC.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] ; Java(TM) 6 Update 5 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\FLASHCODEC.EXE
addsgn 9A5C4EDA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC1FF99B16274EC014BB280392D02846D3461649FA7DDFE97255DAB02C2D77A42F85634C1A 8 Crykl.CL

zoo %SystemDrive%\PROGRAM FILES\ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ РФ\АРХИВНЫЙ ВИДЕО ДОКУМЕНТ\FLASHCODEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

; Java(TM) 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
2. восстановление документов из теневой копии невозможно. XP

3. по расшифровке, если есть лицензия на наш антивирус - напишите в техническую поддержку [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 01.06.2015

Размещено 01.06.2015 12:30:24

Здравствуйте.
На почтовый ящик получили письмо, якобы, от службы судебных приставов, с темой А.Р., с сообщением о начале судебного дела.
В сообщении находилась ссылка, после перехода по которой без подтверждения загрузки скачался архив с именем nomer_dela3333943, открыли его.

Через некоторое время все документы и картинки зашифровались и получили имена вроде

Цитата
[email protected] 0.0.1.0.id-BNFDKPTXPUYWOLDHMDBTXVMKPGEVAYPNLJAY-29.05.2015 11@[email protected]

Огромная просьба помочь.

Образ автозапуска системы: MICROSOF-397978_2015-06-01_17-07-33.7z (317.21 КБ)
Исходное письмо имеется.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.06.2015 13:07:58

1. образ чистый,

2. письмо перешлите в почту [email protected]

3. понятно, что теневых копий нет.

4. по расшифровке документов, если есть лицензия на наш антивирус, напишите в техническую поддержку [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 02.06.2015

Размещено 02.06.2015 21:27:55

Та же история, прилагаю архив образа и пример файла.
Прошу подсказать, есть ли шансы на расшифровку. Точек восстановления не нашлось.

http://rghost.ru/private/6kKjqtfv2/9158fa84bce0ca80a4a85c30587ed5b9

Прикрепленные файлы

X_2015-06-02_21-48-39.rar (557.05 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.06.2015 05:39:49

1. вот это что у вас за tmp-ники? во многих каталогах.

Цитата
C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\TRZ1062.TMP

2. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.22 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\VG01_2\S_INST.EXE addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb] zoo %SystemDrive%\PROGRAMDATA\FLEASHCOUPONU\XOVVWGXNDZZYNQ.DLL addsgn A7679B1928664D070E3CBFE164C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DF58A2D906CCF4D1649C9BD9F6307595F4659214E91BF4B01327C 64 AdWare.MultiPlug zoo %SystemDrive%\PROGRAMDATA\GREATSAVING\YZ3E4WPWVFESFH.DLL addsgn A7679B1928664D070E3CC3EA64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D9D3D2C906CCF4D1649C9BD9F6307595F4659214E91F7D90E327C 64 Win32/AdWare.MultiPlug.BN [ESET-NOD32] zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref HTTP://SEARCH.GBOXAPP.COM/?AFF=P ; Zaxar Games Browser exec C:\Program Files\Zaxar\uninstall.exe ; Bonjour exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\VG01_2\S_INST.EXE
addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\FLEASHCOUPONU\XOVVWGXNDZZYNQ.DLL
addsgn A7679B1928664D070E3CBFE164C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DF58A2D906CCF4D1649C9BD9F6307595F4659214E91BF4B01327C 64 AdWare.MultiPlug

zoo %SystemDrive%\PROGRAMDATA\GREATSAVING\YZ3E4WPWVFESFH.DLL
addsgn A7679B1928664D070E3CC3EA64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D9D3D2C906CCF4D1649C9BD9F6307595F4659214E91F7D90E327C 64 Win32/AdWare.MultiPlug.BN [ESET-NOD32]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SEARCH.GBOXAPP.COM/?AFF=P

; Zaxar Games Browser
exec C:\Program Files\Zaxar\uninstall.exe
; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке: при наличие лицензии на наш антивирус обратитесь за помощью в техподдержку [email protected]

[ Как создать образ автозапуска? ]

Пред. 1 ... 16 17 18 19 20 ... 25 След.