файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

Пред. 1 ... 60 61 62 63 64 ... 72 След.
Приветствую! Глупая секретарша запустила вложение из письма, в итоге на следующий день все файлы канули в лету. В каждой папке лежит файл README.txt, в каждом файле содержится две почты: eugene_danilov@india.com и eugene_danilov@aol.com

Цитата
ВНИМАНИЕ!
Все Ваши офисные файлы, архивы, видео и прочие документы были зашифрованы криптостойким алгоритмом, который не поддаётся расшифровке со стороны антивирусных компаний.
Для того, чтобы восстановить файлы, Вам необходимо связаться с нами по почте  
На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ!
P.S. Почта на yahoo с аналогичным названием заблокирована, за помощью так-же обращаться по почтам ниже.
1. eugene_danilov@india.com
2. eugene_danilov@aol.com
Ждём Вашего письма!
Похоже, что некую почту со схожим названием на yahoo забанили, потому что об этом сказано в послании...
Тело вируса авер убил при сканировании, файл находился в Temp, поэтому прислать его не могу. Письмо сразу удалили, секретаршу, скорее всего, тоже придётся "удалить"... По запросу могу отправить пробный файл на исследование.
Слёзно прошу о помощи!
Изменено: Виктор Никитюк - 22.02.2020 14:51:45
Виктор Никитюк,
добавьте образ автозапуска системы, на которую было совершено нападение (по сути разбойное) с шифрованием.
День добрый. Пришло письмо на почту с вложением архива с исполняющим файлом. В последствии был заражен один компьютер с установленной 1С Зарплата. Каждый зашифрованный файл имеет вид: email-eugene_danilov@yahoo.com.ver-CL 1.3.1.0.id-...
Исполняемый файл (резюме Сергей Коробов.exe) вируса лежит в карантине NOD32. Пришлю по требованию.

Образ автозапуска: http://rgho.st/7H9DSWBTl

Действует лицензия NOD32 EAV-0115957832 до 20.10.16
Калиш Калиш,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\USERS\KEG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ONHDU3M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\VZMKH6A1\GREENCHRISTMASTREE[1].EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке файлов обращайтесь в support@esetnod32.ru при наличие лицензии на антивирус ESET
Такая же проблема... Получилось ли расшифровать шифрованные файлы?
Цитата
Руслан Рыбалка написал:
Такая же проблема... Получилось ли расшифровать шифрованные файлы?
Руслан,
если нужна помощь в очистке системы, добавьте образ автозапуска
Добрый День! Помогите расшифровать данные зашифрованным вирусом
Сотрудник открыл письмо и не посмотрел что это .exe файл и открыл(  
Denis,
добавьте образ автозапуска зашифрованной системы
Что значит образ автозапуска зашифрованной  системы?
Нужно полностью систему залить на образ и выложить?
ссылка на инструкцию "как..." добавлена в мою подпись и есть в каждом моем сообщении.
Пред. 1 ... 60 61 62 63 64 ... 72 След.
Читают тему (гостей: 2)