Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.07.2015 16:04:42
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 17 18 19 20 21 ... 72 След.
 
Андрей Щербаков
Андрей Щербаков
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 20.09.2015
Размещено 21.09.2015 19:28:41
santy, спасибо вам за помощь. Жаль что нельзя дешифровать файлы.
Лицензии на ESET, увы нет.
 
Артем Сарычев
Артем Сарычев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 21.09.2015
Размещено 21.09.2015 20:26:03
Спасибо большое.

p.s.
подобные вирусы способны сами распростроняться через локальную сеть?
 
Дмитрий М
Дмитрий М
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.09.2015
Размещено 21.09.2015 22:35:24
Добрый день. После открытия архива в письме, зашифровались файлы в email-Seven_Legion2. Прикрепляю образ автозапуска. Спасибо.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.09.2015 22:51:24
Тема уже есть: http://forum.esetnod32.ru/messages/forum35/topic12442/message87862/#message87862
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.09.2015 05:36:37
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\USB SAFELY REMOVE\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAM FILES (X86)\АКТ СВЕРКИ ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE

delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q=

delref %SystemDrive%\USERS\À”À¨À£À°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HSZO747K.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref HTTP://WEBALTA.RU/SEARCH

delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\DRAGON01?ADCAMPAIGN=40842&CLICKID=TDTDTBYDTBTB0FYB0CTC0CYETC0FTC0A&PUBLISHERID=1_72

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов при наличие лицензии на антивирус ESET напишите в [email protected]

по восстановлению документов напишите в почту [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.09.2015 05:37:33
в данном случае, нет.
только через электронную почту
при условии, что кто-то из сотрудников  открывает все письма подряд
Изменено: santy - 22.02.2020 16:45:48
[ Как создать образ автозапуска? ]
 
Константин Соболев
Константин Соболев
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.09.2015
Размещено 22.09.2015 17:29:58
Пожалуюсь и я: юристам пришло письмо со ссылками, скачали, запустили. Зашифровалось...
Образ автозапуска
https://dl.dropboxusercontent.com/u/66640683/JURIST03_2015-09-22_12-45-54.7z
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.09.2015 17:50:13
упорный попался юрист.
раз 12 пробовал открыть документ из архива.
надо добавлять политики ограниченного запуска исполняемых программ из архивов.
надежды мало на внимательность менеджеров при работе с почтой.



выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 4A68F1DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C30E24C7823CB44A966E20FC46EC86A96C136F25D01E357E60D2D283EB7A 8 Ransom:Win32/Criakl.D [Microsoft]

zoo %SystemDrive%\TEMP\RAR$EX02.443\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.122\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.027\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.152\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.448\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.463\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.306\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.305\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.304\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.288\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.334\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.459\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deltmp
delnfr
czoo
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Дмитрий М
Дмитрий М
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.09.2015
Размещено 22.09.2015 23:09:37
А после выполнения скрипта, вирус будет удален? я уже могу подключать внешний винт например?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.09.2015 07:34:30
да, будет удален.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 17 18 19 20 21 ... 72 След.
Читают тему