Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl с расширением *.cbf , Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

RSS
 
Анна Гребёнкина
Анна Гребёнкина
Пользователь
Сообщений: 1
Регистрация: 06.05.2014
Размещено 06.05.2014 14:50:06
Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *vpupkin3@aol.com* , Cryakl *cbf


------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 9 10 11 12 13 ... 25 След.
 
Алекс Дёмин
Алекс Дёмин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.03.2015
Размещено 06.03.2015 13:15:26
Приветствую, господа!
У нас очень похожие входные данные. Есть ли дешефратор от данной напасти?
Заранее благодарен за внимание.
 
vad Ilyumov
vad Ilyumov
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 04.03.2015
Размещено 06.03.2015 13:55:28
а можно выложить в инет архивы и дать вам ссылки?

кинул повторно, похоже отправил его только на суппорт с майла. а с гугла вам не прошло
Изменено: vad Ilyumov - 16.03.2018 05:01:56
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.03.2015 17:49:11
да, теперь есть в почте
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.03.2015 17:51:04
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
vad Ilyumov
vad Ilyumov
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 04.03.2015
Размещено 08.03.2015 19:54:21
вобщем ничего не получается пока. из предложенных мне трех вариантов расшифровки- программы касперского на сайте первая сравнивает оригинал с зашифрованным.
нашел пару оригиналов, но размеры не совпадают!
думаю это естественно, зашифрованные имеют и другую дату и другой размер.

вторая прога что не получилось у нее ничего найти
третья нашла тысячи файлов (картинки), пишет что расшифровала, но джипеги не открываются- выдает черный фон и красную надпись "Недопустимое". остановил ее недождавшись, она и так 7 тыщ картинок восстановила неправильно
Изменено: vad Ilyumov - 16.03.2018 05:01:56
 
Evgeniy Ovchinnikov
Evgeniy Ovchinnikov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.03.2015
Размещено 10.03.2015 09:38:21
Добрый день!
Все файлы на рабочем ноутбуке зашифровались после запуска пользователем "документа" из почтового ящика с темой письма "Суд такого-то района"
файлы имеют вид
lnpqrttvwyyaccefhij.lmo.id-{CDEGHIJKLLNOPQRSTUUVXYZZABCDEFGHIJKL-10.03.2015 10@14@264674777}-email-vpupkin3@aol.com-ver-6.1.0.0.b.cbf

После заражения юзер поставил KIS, зачем не знаю, от испуга что ли, и во время сканирования uVS, KIS тоже нашел svchost.exe по пути временной директории и удалил его.
запустил программу uVS
архив с  образом автозапуска в аттаче.
 
Evgeniy Ovchinnikov
Evgeniy Ovchinnikov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.03.2015
Размещено 10.03.2015 09:41:07
а вот то самое вложение из письма которое ЗАРАЖАЕТ ПК
пароль на архив virus
Изменено: Валентин - 15.03.2018 10:05:23
 
Evgeniy Ovchinnikov
Evgeniy Ovchinnikov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.03.2015
Размещено 10.03.2015 09:51:15
а вот один из зашифрованных файлов
http://rghost.ru/7sthx6tcc
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 10:14:49
образ сейчас гляну,
архив с scr был во вложении почты, или скачивался по ссылке из сети?
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 10:42:09
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

regt 28
regt 29
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe
; etranslator
exec  C:\Users\Комплисите\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Time tasks
exec  C:\ProgramData\Schedule\uninstall.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Комплисите\AppData\Roaming\VOPackage\uninstall.exe
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
deldir %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\VOPACKAGE
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте возможность восстановления доков из теневой копии.
3. по расшифровке документов: если у вас есть лицензия на продукт Есета, отправьте несколько защифрованных документов, а так же архив с вредоносной программой в техподдержку
support@esetnod32.ru
Изменено: santy - 15.03.2018 10:05:23
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 9 10 11 12 13 ... 25 След.
Читают тему