файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 3

Баллов: 1

Регистрация: 05.10.2015

Размещено 05.10.2015 10:45:03

Здравствуйте. Та же проблема. Вирус. Легион

Заранее спасибо

Прикрепленные файлы

SVETLANA-PC_2015-10-05_10-14-02.7z (726.23 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.10.2015 10:50:47

Антон,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE deltmp delnfr restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 05.10.2015

Размещено 05.10.2015 11:27:33

Выполнил скрипт. Зашифрованные файлы остались. Новый вордовский файл пока не зашифровался.
Что из файлов надо послать в суппорт?

Прикрепленные файлы

2015-10-05_11-06-11_log.txt (63.6 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.10.2015 12:45:10

добавить в архив с паролем infected тело шифратора + несколько зашифрованных файлов.
если есть чистые аналоги данных файлов, то и их добавьте в архив.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 05.10.2015

Размещено 05.10.2015 12:54:24

Простите за неграмотность, тело шифратора - это что?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.10.2015 13:07:56

это исполняемая программа, которая зашифровала документы

Код
%SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE

если сохранилась копия этой программы, или возможно есть в карантине, или во вложении электронной почты, откуда был запущен шифратор.

[ Как создать образ автозапуска? ]

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 05.10.2015 17:19:41

Это непосредственно вирус, после запуска которого файлы зашифровались.

ESET Technical Support

Сообщений: 2

Баллов: 1

Регистрация: 06.10.2015

Размещено 06.10.2015 12:07:26

Добрый день словил такую же пакость

Прикрепленные файлы

WIN7-NOTEBOOK_2015-10-06_11-52-18.7z (704.09 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.10.2015 12:48:23

Антон Григорьев,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE addsgn 1A981D9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E86BD1852D32431BDB14A2B80439F4A1649FA4E1F03335A75FD3C7B202FDEFE5B2A07 8 Toolbar.Ask ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref %SystemDrive%\USERS\WIN 7\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SFGDMYPU.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2 delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL_2030.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE
addsgn 1A981D9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E86BD1852D32431BDB14A2B80439F4A1649FA4E1F03335A75FD3C7B202FDEFE5B2A07 8 Toolbar.Ask

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

delref %SystemDrive%\USERS\WIN 7\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SFGDMYPU.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL_2030.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 07.10.2015

Размещено 07.10.2015 04:11:40

Файл сервер реализован в виде виртуальной машины на Debian, стоит WinServer 2003. Что главное зашифровались файлы только на этом сервере, локальные компьютеры не были заражены. Шифровка файлов произошла 3 октября. Ни самого вируса, ни во временных файлов следов не нашел.

Прикрепленные файлы

SRV-DATA_2015-10-07_03-59-30.7z (206.31 КБ)

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl