Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2015 16:04:42
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 67 68 69 70 71 72 След.
 
Владлен Александров
Владлен Александров
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 19.07.2017
Размещено 19.07.2017 02:22:39
Здравствуйте.
поймал шифровальшика, в его ридми почта rosa <[email protected]>
(зашифровано с расширением *[email protected]*, Cryakl v CL 1.3.1.0 )
просит 1 биткоин
Зашифровал все файлы на c и d дисках,
Вместе с тем зашифровал и рабочие базы от ресторанной и отельной системы.
мб кто то такое уже видел? что делать как быть? впервые с таким столкнулся
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.07.2017 02:34:46
Владлен Александров,

добавьте несколько зашифрованных файлов + записку о выкупе в архив и поместите в ваше сообщение
+
добавьте образ автозапуска системы, возможно необходима очистка системы от тел шифратора и вредоносных программ.
[ Как создать образ автозапуска? ]
 
Владлен Александров
Владлен Александров
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 19.07.2017
Размещено 19.07.2017 03:20:27
Цитата
santy написал:
Владлен Александров,

добавьте несколько зашифрованных файлов + записку о выкупе в архив и поместите в ваше сообщение
+
добавьте образ автозапуска системы, возможно необходима очистка системы от тел шифратора и вредоносных программ.
Сделал как вы сказали.
В архиве, в отдельной папке есть 2 файла, 1 исходный, второй пораженный.
+ ссылка на архив с облака яндекс диска
https://yadi.sk/d/g_A1-SfL3LBQY2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.07.2017 04:48:33
так это Cryakl

Цитата
Identified by

   sample_extension: email-<email>.ver-CL <version>.id-<random>.randomname-<random>.<random>.<random>
   sample_bytes: [0x56EC4 - 0x56ED2] 0x7B454E4352595054454E4445447D
в настоящее время расшифровки по нему нет.
образ автозапуска сейчас проверю.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.07.2017 05:04:04
файлов шифратора уже нет в системе,
по очистке системы выполните скрипт в uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref D:\UCS\SH4\IRKSETUP.EXE
delref D:\SHELTER\IBDATA\BACKUP.BAT
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DOSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref %Sys32%\DRIVERS\IUSB3XHC.SYS
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\DRIVERS\IUSB3HUB.SYS
delref %Sys32%\QAGENTRT.DLL
delref %Sys32%\TBSSVC.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %Sys32%\DRIVERS\RDPWD.SYS
delref %Sys32%\P2PHOST.EXE
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\APILOGEN.DLL
delref %Sys32%\IPBUSENUM.DLL
delref %Sys32%\OOBE\MSOOBEUI.DLL
delref %Sys32%\MCTADMIN.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\WWANADVUI.DLL
delref %Sys32%\DSHOWRDPFILTER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref D:\RK7\DEFAULT\COMMONSERVER\CS_SERVICE.EXE
delref D:\SHELTER\FIREBIRD\BIN\FB_INET_SERVER.EXE
delref D:\RK7\DEFAULT\FEATURESERVER\IRREPORTSFSPRJ.EXE
delref D:\RK7\DEFAULT\RK7MIDSERVER\MIDSERV.EXE
delref D:\RK7\DEFAULT\RK7WINPRINT\WINPRINT.EXE
delref D:\RK7\DEFAULT\RK7REFERENCE\REFSRV.EXE
delref D:\UCS\SDBSRV\SDBSERV.EXE
delref D:\SHELTER\LOCKSERVER\SHELTER.EXE
delref D:\SHELTER\EXECTRL\EXECTRL.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref D:\SHELTER\REPORT\FREPORT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref D:\SHELTER\LIB\MIDAS.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref D:\SHELTER\REPORT\DLL\FRDLGDEF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref D:\SHELTER\INTERFACE\PHONE\SCPSERV\RS232READER.EXE
delref D:\SHELTER\INTERFACE\PHONE\SCPSERV\SCPSERV.EXE
delref D:\SHELTER\INTERFACE\PHONE\OLD_FOR_PHONE\OLD\SERVERT1.EXE
delref D:\SHELTER\SHELTER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

пробуйте восстановить документы из архивных копий, или если повезет из точек восстановления.
[ Как создать образ автозапуска? ]
 
Владлен Александров
Владлен Александров
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 19.07.2017
Размещено 19.07.2017 05:32:57
Откат на точку восстановления толку не дал, откатывался на ближайшее число 16,07,17. Есть ли смысл пробывать откатить еще дальше?
Что на счет дешифрации?
Можете ли вы расшифровать файл на основе того что я предоставил?
Я готов на платную основу.
Зашифрованы файлы БД, очень важные  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.07.2017 05:40:33
шифрование когда произошло?
откатывать систему не надо. просто проверьте есть точки восстановления или нет.
с помощью ShadowExplorer
http://www.shadowexplorer.com/downloads.html

добавлю, практически все шифраторы пытаются удалить теневые копии с дисков, если они есть.

с расшифровкой файлов не поможем.
если есть лицензия на продукт ESET сделайте запрос в [email protected]
[ Как создать образ автозапуска? ]
 
Геннадий Кондратов
Геннадий Кондратов
Пользователь
Сообщений: 1
Регистрация: 02.11.2017
Размещено 02.11.2017 22:22:43
Здравствуйте, заражение произошло предположительно через почту.
(зашифровано с расширением [email protected] 1.3.1*)
Из зашифрованного есть только readme и фотографии в формате JPG.
Помогите пожалуйста расшифровать.
С уважением, Геннадий Кондратов.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.11.2017 03:02:53
Цитата
Геннадий Кондратов написал:
Здравствуйте, заражение произошло предположительно через почту.
Из зашифрованного есть только readme и фотографии в формате JPG.
Помогите пожалуйста расшифровать.
С уважением, Геннадий Кондратов.
здравствуйте,
это не Encoder.741/filecoder.DG,
это ныне здравствующий Kryakl (по классификации DrWeb - Encoder.567), по которому нет сейчас расшифровки.

добавьте образ автозапуска системы, возможно в системе остались еще файлы шифратора.
[ Как создать образ автозапуска? ]
 
Сергей Колиденков
Сергей Колиденков
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 07.11.2017
Размещено 07.11.2017 12:52:00
Добрый день.

Проник вирус-шифровальщик, все файлы преобразованы в "[email protected] 1.3.1.0.id-LMNPQRTUVXYZACDEFHHJKMMOPQRTUVWYZABD-07.11.2017 11@03@343341119@@@@@347B-E7C6.randomname-HIIJLMMMNOOPQQRRRSTTUVVVWXXYZZ.ZAB.ccd"  
В каждой папке создан файл "README.txt" c содержанием
 "ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
[email protected]
[email protected]
[email protected]"
 
Пред. 1 ... 67 68 69 70 71 72 След.
Читают тему