файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 4

Баллов: 2

Регистрация: 22.09.2015

Размещено 23.09.2015 15:34:46

Выполнил, архив отправил на указанный адрес. Новых проблем нет. Из старых только зашифрованные файлы.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.09.2015 16:04:00

по расшифровке документов обращайтесь в техподдержку [email protected]
(при наличие лицензии на антивирус ESET)
если у ESET нет еще решения по данному решению, обращайтесь в другие вирлабы. В ЛК или ДрВеб

Изменено: santy - 22.02.2020 16:44:23

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 27.09.2015

Размещено 27.09.2015 17:23:59

Доброе время суток!
У меня тоже возникла проблема с данным вирусом! Все файлы переименовались =((

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 27.09.2015 17:33:38

Цитата
Евген Саныч написал: Доброе время суток! У меня тоже возникла проблема с данным вирусом! Все файлы переименовались =((

Уточните наличие возможности дешифровки здесь [email protected]

Сообщений: 10

Баллов: 5

Регистрация: 28.09.2015

Размещено 28.09.2015 08:54:10

Корпоративная лицензия имеется.

Файл образа автозапуска:
http://rghost.ru/8ryKVdXCV

Любопытно, что зашифровано только в одно папке и ее подпапках, остальные папки не тронуты и файлы не все подряд зашифрованы.

хелп.
[email protected]*, *cbf

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.09.2015 10:06:12

по образу все чисто.

возможно дотянулся шифратор только до папки, в которой у юзера были права.
т.е. не факт, что шифратор был запущен на сервере,
скорее всего шифратор был запущен на компе пользователя, у которого была смонтирована как диск серверная папка.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 28.09.2015

Размещено 28.09.2015 12:21:11

Добрый день!

Поймали шифровальщика, несмотря на установленный и обновленный NOD32.
Помогите, пожалуйста. Образ автозапуска и зашифрованный файл в архиве по ссылке.
http://rghost.ru/6CzJqBDPk

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.09.2015 12:33:25

Илья,
по очистке системы выполните,
(кстати, шифратор до сих пор в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ГЦУУК\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian zoo %SystemDrive%\PROGRAM FILES\EXPLORE.EXE addsgn A7679BCB063DA457F62B51DB64202CF8DA757F328D12A9877A3C2EAEBBC6A09F98B62374645A32B7AA732D572D94A15702DFE89AFDA5B02CC5D4DB2FC7ED3B98 8 encoder delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE delall %SystemDrive%\USERS\AAA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE ;------------------------autoscript--------------------------- chklst delvir ; DealPly exec C:\Program Files\DealPly\uninst.exe ; desktopy.ru exec C:\Users\гцуук\AppData\Roaming\desktopy.ru\uninstall.exe ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; Ticno multibar exec C:\Program Files\Ticno\Multibar\uninstall.exe ; Ticno Tabs exec C:\Program Files\Ticno\Tabs\Uninstall.exe ; Ticno Indexator exec C:\Program Files\Ticno\Indexator\Uninstall.exe deldirex %SystemDrive%\USERS\25ED~1\APPDATA\ROAMING\DEALPLY\UPDATE~1 deldirex %SystemDrive%\PROGRAM FILES\DEALPLY deldirex %SystemDrive%\USERS\25ED~1\APPDATA\ROAMING\DSITE\UPDATE~1 delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120605.DLL delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\USERS\ГЦУУК\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE delref %SystemDrive%\PROGRAM FILES\SMARTTWEAK SOFTWARE\SPEEDUPMYCOMPUTER\SPEEDUPMYCOMPUTER.EXE delref %SystemDrive%\USERS\ГЦУУК\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\ГЦУУК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE delref HTTP://WWW.QIP.RU/ delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ГЦУУК\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\EXPLORE.EXE
addsgn A7679BCB063DA457F62B51DB64202CF8DA757F328D12A9877A3C2EAEBBC6A09F98B62374645A32B7AA732D572D94A15702DFE89AFDA5B02CC5D4DB2FC7ED3B98 8 encoder

delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE
delall %SystemDrive%\USERS\AAA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE
;------------------------autoscript---------------------------

chklst
delvir

; DealPly
exec C:\Program Files\DealPly\uninst.exe
; desktopy.ru
exec C:\Users\гцуук\AppData\Roaming\desktopy.ru\uninstall.exe
; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Ticno multibar
exec C:\Program Files\Ticno\Multibar\uninstall.exe
; Ticno Tabs
exec C:\Program Files\Ticno\Tabs\Uninstall.exe
; Ticno Indexator
exec C:\Program Files\Ticno\Indexator\Uninstall.exe

deldirex %SystemDrive%\USERS\25ED~1\APPDATA\ROAMING\DEALPLY\UPDATE~1

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

deldirex %SystemDrive%\USERS\25ED~1\APPDATA\ROAMING\DSITE\UPDATE~1

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120605.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\USERS\ГЦУУК\APPDATA\LOCAL\SUPERFAST\TRAY\SFTRAYICON.EXE

delref %SystemDrive%\PROGRAM FILES\SMARTTWEAK SOFTWARE\SPEEDUPMYCOMPUTER\SPEEDUPMYCOMPUTER.EXE

delref %SystemDrive%\USERS\ГЦУУК\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\ГЦУУК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

delref HTTP://WWW.QIP.RU/

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_дата_время.7z) отправить в почту [email protected]

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

Изменено: santy - 22.02.2020 16:44:23

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 30.09.2015

Размещено 30.09.2015 04:07:19

Добрый день!
По почте была прислана левая ссылка, которая была по глупости открыта. Как следствие, зашифровались все файлики на компьютере.
На компьютере установлен NOD32 SmartSecurity 8. Пример зашифрованного файла прикреплен в архиве.
Буду очень признателен за любую помощь!

Прикрепленные файлы

[email protected] 1.0.0.0.id-NOOPRSSTUUVWXXYYZABBCCDEFFFGHIJKKKLM-28.09.2015 12@[email protected] (596.19 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 30.09.2015 05:54:37

Николай,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl