файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ECO\APPDATA\LOCAL\TEMP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E82732DAB058289EB288C70675F8 52 protectdata@inbox.com

zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE
addsgn 9ADC50DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC25E2B88C1BFE6A1D9CEC58556A3B5CED461649FA7DDFE97255DAB02C2D77A42F8573501D 8 email-mserbinov@aol.com.ver-CL

zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\INSTALL\UPDATE.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$I2O2B2J.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$IZOMHL8.EXE
zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE
delall %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE
delall %SystemDrive%\INSTALL\INSTALL\UPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru
------------
2. по восстановлению документов проверьте наличие чистых теневых копий на дисках

3. по расшифровке документов: если у вас естьлицензия на продукт ESET, напишите обращение в техподдержку support@esetnod32.ru с просьбой о расшифровке документов.
Изменено: santy - 24.02.2020 06:30:43
yan yanov а по какой ссылке был скачан архив с вирусом? В личные сообщения можете кинуть ссылку по которой пользователь перешел?

yan yanov архив с вирусом удалите из вложений, а то другие тоже могут заразится.  
Изменено: mike 1 - 24.02.2020 06:30:43
Михаил
тему создала.
добавьте образ автозапуска, посмотрим в каком сейчас состоянии система
http://forum.esetnod32.ru/forum9/topic2687/
образ автозапуска
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES\REGTASK\REGTASK.EXE
delall %SystemDrive%\PROGRAM FILES\TASK.EXE
hide %SystemDrive%\PROGRAMDATA\MCAFEE SECURITY SCAN\EXTENSIONS\REGFIREFOXADDON.EXE
hide %SystemDrive%\USERS\USER PC\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
hide %SystemDrive%\USERS\USER PC\DOWNLOADS\REVOUNINPROSETUP.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {15DEE173-1BE9-4424-81E0-58A87076E9B1}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445\IE

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL

deldirex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA654

deldirex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA857

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWERV1\MEDIAVIEWERV1ALPHA75

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9299

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA3789

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751

delref %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0002.SYS

delref %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BD0003.SYS

delref %Sys32%\DRIVERS\BD0004.SYS
del %Sys32%\DRIVERS\BD0004.SYS

delref %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS

delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
del %Sys32%\DRIVERS\BDFILEDEFEND.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE

delref %Sys32%\DRIVERS\BDMWRENCH.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

delref %Sys32%\DRIVERS\BDSANDBOX.SYS
del %Sys32%\DRIVERS\BDSANDBOX.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619

deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE

deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE\BIN

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref HTTP://WEBALTA.RU/SEARCH
del %SystemDrive%\PROGRAM FILES\BAIDUAN3.0\BAIDUAN\3.0.0.3971\DRIVERS\X64\BD0001.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE

; desktopy.ru
exec C:\Users\User PC\AppData\Roaming\desktopy.ru\uninstall.exe
deltmp
delnfr
areg

;-------------------------------------------------------------


перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
новый образ добавила, проблема заключалась в том, что все документы стали зашифрованы с таким наименованием email-iizomer@aol.com.ver-CL 1.0.0.0.id-SVWXZAABDEFFGHIJJKLMNOOPQRSSTUVWXXYZ-23.07.2015 10@43@481038040.randomname-ZEGHKMMNPQRRTUVVXYZZBCDEFGHIJK.MNO и до сих пор такими остаются....
по восстановлению документов проверьте наличие чистых теневых копий.
если нужна помощь напишите id и пароль к тимвьюверу в почту
На почту пришло письмо с ссылкой реквизиты. Был сделан переход, после этого все документы *doc,*.xml,*.jpg,*.pdf стали зашифрованы.Вместо них теперь показывается следующее email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-JJJKMMNNOOPQRRSSTTUVWWWXXYZAABBBCDEE-28.07.2015 11@28@549036042.randomname-XXYZABBBCDEEFGGGHIJJKKLLMNOOOP.QRR.cbf. На рабочем столе появилась заставка с просьбой прислать шифрованный файл к нам на почту.  
Судя по всему вируса в системе уже нет. ( только следы от него )


Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delall %SystemDrive%\PROGRAM FILES (X86)\РЕКВИЗИТЫ ДЛЯ ВЫСТАВЛЕНИЯ СЧЁТА ДЛЯ БУХГАЛТЕРИИ.PDF.EXE
delall %SystemDrive%\USERS\1\DESKTOP\SPSS.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.2.0_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME
exec C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
deltmp
delnfr
restart




-------------
Далее  выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Читают тему (гостей: 1)