файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

Доброго времени суток! Один из пользователей схватил свежую версию Eric.Decoder.
Зловред приходит по "мылу" с темой "карточка предприятия" в теге From указано "ОАО Кар-Нэт [mailto:carnet@mail.ru]".
В письме вложение "карточка преприятия.rar", в котором запакован одноимённый екзешник.
Если у кого-то есть наработки в данном направлении, прошу помощи. В техпом уже написали, но мало ли, у кого-то уже есть решение...
В архиве *.7z находится uVS-образ автозагрузки инфицированной системы.
В архиве Crypted.rar запакованы образцы зашифрованных файлов и их исходных версий.
В архиве Filecoder.rar - сам зловред, пароль infected.
Спасибо...
зашифровано с расширением email-eric.decoder10@gmail.com* , *cbf
1. по очистке системы от шифраторов (он все еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 9A6447DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BCB437FB4985C38411ACEDA1C61B096814461649FA7DDFE97255DABB2C6C77262FB46E4318 8 Win32/Filecoder.EQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\1C\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE
zoo %SystemDrive%\TMP\7ZO77.TMP\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по расшифровке документов напишите в support@esetnod32.ru при наличии лицензии на антивирус ESET
Спасибо!
По электронке пришло письмо с вложением, открыли вложение и вирус зашифровал файлы, которые были названы на англ. в email-oduvansh@aol.com.ver-CL 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 9@58@305603264.randomname-TVWWYZZZAB...KLLMMN.OPP.cbf, email-oduvansh@aol.com.ver-CL 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 9@58@305603264.randomname-KLNOPQQRSTUUUVVWXYYYZAABCDDDEF.GGH.cbf и тд.

После полной проверки антивирус NOD32 поместил в карантин 18 файлов с разными троянами.
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
Образ автозапуска
образ чистый

дата системная не сбита на компе?
судя по наименованию шифрование произошло еще в мае,
Цитата
29.05.2015
на тот момент, скорее всего еще не было версии CL 1.0.0.0

по расшифровке данных при наличие лицензии обратитесь за помощью в тех.поддержку
support@esetnod32.ru
при наличии лицензии на антивирус ESET
Нет, с датой всё нормально. Заражение и шифрование произошло 22 июля
Доброго дня! Прошу прощения, что пишу в чужой теме. Аналогичная ситуация, из почты запустили зараженный файл. Шифровальщик отработал (на ПК обнаружил два зараженных файла договор.exe, карточка предприятия.exe) зашифрованные файлы получились с именами email-gerkaman@aol.com.ver-CL 1.1.0.0...., email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.... Реально ли расшифровать? Пользователем ESET не являюсь, но готов им стать.
На данный момент дешифровать файлы невозможно. Единственный способ борьбы, кроме актуальных сигнатур (что не всегда является панацеей), - бекап критически важных данных.
Читают тему (гостей: 5)