файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 30

Баллов: 15

Регистрация: 31.07.2014

Размещено 15.10.2015 12:56:23

Здравствуйте,
Сегодня по почте пришло письмо с архивом, где не опытный пользователь запустил архив.
Теперь большинство файлов за шифровалось в том числе и самая почта, файл outlook.pst.
Что необходимо сделать, чтобы удалить вирус и расшифровать файлы?
Высылаю полный скан образа с зараженного компьютера снятым uVS.
Спасибо, жду Вашей помощи и рекомендаций.

http://rghost.ru/69QMsdvWr

Прикрепленные файлы

[email protected] 1.0.0.0.id.png (847.19 КБ)

CINEMA_ADMIN_2015-10-15_15-11-06.7z (548.57 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.10.2015 13:17:21

Александр Подлесный,
ROMserver от компании LiteManegerTeam сами ставили?

Код
C:\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE

в настоящее время система чиста.
по расшифовке документов напишите в [email protected] при наличие лицензии на наш антивирус

[ Как создать образ автозапуска? ]

Сообщений: 30

Баллов: 15

Регистрация: 31.07.2014

Размещено 15.10.2015 13:18:53

Цитата

santy написал:
Александр Подлесный,
ROMserver от компании LiteManegerTeam сами ставили?

Код
C:\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE

в настоящее время система чиста.
по расшифовке документов напишите в [email protected] при наличие лицензии на наш антивирус

Да, бесплатная для ЮрЛиц. Да, внутри используем для работы.
А как можно расшифровать файлы?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.10.2015 13:22:34

расшифровать документы можно только при наличие дешифратора и ключа.

Код
по расшифовке документов напишите в [email protected] при наличие лицензии на наш антивирус

[ Как создать образ автозапуска? ]

Сообщений: 30

Баллов: 15

Регистрация: 31.07.2014

Размещено 15.10.2015 13:40:08

Цитата
santy написал: по расшифовке документов напишите в [email protected] при наличие лицензии на наш антивирус

да, как можно получить ответ?
я отравил свой лиц.ключ на почту.

Сообщений: 4

Баллов: 2

Регистрация: 14.10.2015

Размещено 15.10.2015 13:42:49

А мне никакие действия для очистки системы делать не надо??

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.10.2015 14:27:50

Цитата
Павел Галкин написал: А мне никакие действия для очистки системы делать не надо??

проверьте эту программу
C:\USERS\IRA\DESKTOP\ADMIN.EXE
на сервисе
http://virustotal.com
линк проверки добавьте в ваше сообщение

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 14.10.2015

Размещено 16.10.2015 08:52:30

https://www.virustotal.com/ru/file/2a50b2f767c0865f9a9347df1725be0d0430ed36458e08a1af698c79705c234c/...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.10.2015 09:43:04

Павел,
этот файл и является шифратором
DrWeb Trojan.Encoder.567
ESET-NOD32 Win32/Filecoder.EQ
Kaspersky Trojan-Ransom.Win32.Cryakl.wg

судя по образу файлик запускался вручную
[Запускался неявно или вручную]
а вот как он был доставлен на рабочий стол - это вопрос к вашему админу.
сервер не защищен антивирусом.
и кстати, по свойствам файла можно посмотреть, кто является его владельцем. возможно это будет ответом на вопрос - как он появился на рабочем столе.
имя так же нехарактерное для данного шифратора.

по очистке:

или выполните данный скрипт в удобное время, потому что после выполнения скрипта сервер будет перегрузжен
или просто удалите этот файл с рабочего стола

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\IRA\DESKTOP\ADMIN.EXE addsgn A7679B23526A4C7261D4C4B12DBDEB5476DC445A2AB91F9011003943EBBE8E0F23A9B3AE7D55AE897EE8283605162D054DBB6152ED5AB3682DCD60868406CA56 8 Win32/Filecoder.EQ [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\IRA\DESKTOP\ADMIN.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476DC445A2AB91F9011003943EBBE8E0F23A9B3AE7D55AE897EE8283605162D054DBB6152ED5AB3682DCD60868406CA56 8 Win32/Filecoder.EQ [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------

Изменено: santy - 22.02.2020 16:29:04

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 20.10.2015

Размещено 20.10.2015 10:07:57

santy, вчера сотрудница открыла вложенный в письме файл, и вот я тут.
Образ запуска во вложении. Лицензия есть. с компьютером пока ничего не делал.
Буду очень благодарен за помощь.

Прикрепленные файлы

ALEVTINA_2015-10-20_09-57-12.7z (344.96 КБ)

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl