файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

RSS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:04:42

+ этот файл еще проверьте

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 60 61 62 63 64 ... 72 След.

Сообщений: 1

Регистрация: 12.08.2016

Размещено 12.08.2016 08:26:10

Приветствую! Глупая секретарша запустила вложение из письма, в итоге на следующий день все файлы канули в лету. В каждой папке лежит файл README.txt, в каждом файле содержится две почты: [email protected] и [email protected]

Цитата
ВНИМАНИЕ! Все Ваши офисные файлы, архивы, видео и прочие документы были зашифрованы криптостойким алгоритмом, который не поддаётся расшифровке со стороны антивирусных компаний. Для того, чтобы восстановить файлы, Вам необходимо связаться с нами по почте На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ! P.S. Почта на yahoo с аналогичным названием заблокирована, за помощью так-же обращаться по почтам ниже. 1. [email protected] 2. [email protected] Ждём Вашего письма!

Цитата

ВНИМАНИЕ!
Все Ваши офисные файлы, архивы, видео и прочие документы были зашифрованы криптостойким алгоритмом, который не поддаётся расшифровке со стороны антивирусных компаний.
Для того, чтобы восстановить файлы, Вам необходимо связаться с нами по почте
На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ!
P.S. Почта на yahoo с аналогичным названием заблокирована, за помощью так-же обращаться по почтам ниже.
1. [email protected]
2. [email protected]
Ждём Вашего письма!

Похоже, что некую почту со схожим названием на yahoo забанили, потому что об этом сказано в послании...
Тело вируса авер убил при сканировании, файл находился в Temp, поэтому прислать его не могу. Письмо сразу удалили, секретаршу, скорее всего, тоже придётся "удалить"... По запросу могу отправить пробный файл на исследование.
Слёзно прошу о помощи!

Изменено: Виктор Никитюк - 22.02.2020 14:51:45

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2016 10:16:45

Виктор Никитюк,
добавьте образ автозапуска системы, на которую было совершено нападение (по сути разбойное) с шифрованием.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.08.2016

Размещено 12.08.2016 14:33:26

День добрый. Пришло письмо на почту с вложением архива с исполняющим файлом. В последствии был заражен один компьютер с установленной 1С Зарплата. Каждый зашифрованный файл имеет вид: [email protected]-CL 1.3.1.0.id-...
Исполняемый файл (резюме Сергей Коробов.exe) вируса лежит в карантине NOD32. Пришлю по требованию.

Образ автозапуска: http://rgho.st/7H9DSWBTl

Действует лицензия NOD32 EAV-0115957832 до 20.10.16

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2016 14:54:34

Калиш Калиш,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\USERS\KEG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ONHDU3M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\VZMKH6A1\GREENCHRISTMASTREE[1].EXE regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\USERS\KEG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ONHDU3M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\VZMKH6A1\GREENCHRISTMASTREE[1].EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке файлов обращайтесь в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 15.08.2016

Размещено 15.08.2016 22:15:42

Такая же проблема... Получилось ли расшифровать шифрованные файлы?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2016 04:35:10

Цитата
Руслан Рыбалка написал: Такая же проблема... Получилось ли расшифровать шифрованные файлы?

Руслан,
если нужна помощь в очистке системы, добавьте образ автозапуска

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 16.08.2016

Размещено 16.08.2016 18:46:49

Добрый День! Помогите расшифровать данные зашифрованным вирусом
Сотрудник открыл письмо и не посмотрел что это .exe файл и открыл(

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.08.2016 00:52:27

Denis,
добавьте образ автозапуска зашифрованной системы

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 16.08.2016

Размещено 17.08.2016 09:02:30

Что значит образ автозапуска зашифрованной системы?
Нужно полностью систему залить на образ и выложить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.08.2016 10:14:33

ссылка на инструкцию "как..." добавлена в мою подпись и есть в каждом моем сообщении.

[ Как создать образ автозапуска? ]

Пред. 1 ... 60 61 62 63 64 ... 72 След.

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl