файлы зашифрованы в Cryakl с расширением *.cbf , Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

RSS

Сообщений: 1

Регистрация: 06.05.2014

Размещено 06.05.2014 14:50:06

Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *[email protected]* , Cryakl *cbf

------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 9 10 11 12 13 ... 25 След.

Сообщений: 5

Баллов: 2

Регистрация: 06.03.2015

Размещено 06.03.2015 13:15:26

Приветствую, господа!
У нас очень похожие входные данные. Есть ли дешефратор от данной напасти?
Заранее благодарен за внимание.

Сообщений: 6

Баллов: 3

Регистрация: 04.03.2015

Размещено 06.03.2015 13:55:28

а можно выложить в инет архивы и дать вам ссылки?

кинул повторно, похоже отправил его только на суппорт с майла. а с гугла вам не прошло

Изменено: vad Ilyumov - 16.03.2018 05:01:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.03.2015 17:49:11

да, теперь есть в почте

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.03.2015 17:51:04

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 04.03.2015

Размещено 08.03.2015 19:54:21

вобщем ничего не получается пока. из предложенных мне трех вариантов расшифровки- программы касперского на сайте первая сравнивает оригинал с зашифрованным.
нашел пару оригиналов, но размеры не совпадают!
думаю это естественно, зашифрованные имеют и другую дату и другой размер.

вторая прога что не получилось у нее ничего найти
третья нашла тысячи файлов (картинки), пишет что расшифровала, но джипеги не открываются- выдает черный фон и красную надпись "Недопустимое". остановил ее недождавшись, она и так 7 тыщ картинок восстановила неправильно

Изменено: vad Ilyumov - 16.03.2018 05:01:56

Сообщений: 5

Баллов: 2

Регистрация: 10.03.2015

Размещено 10.03.2015 09:38:21

Добрый день!
Все файлы на рабочем ноутбуке зашифровались после запуска пользователем "документа" из почтового ящика с темой письма "Суд такого-то района"
файлы имеют вид
lnpqrttvwyyaccefhij.lmo.id-{CDEGHIJKLLNOPQRSTUUVXYZZABCDEFGHIJKL-10.03.2015 10@14@264674777}[email protected]

После заражения юзер поставил KIS, зачем не знаю, от испуга что ли, и во время сканирования uVS, KIS тоже нашел svchost.exe по пути временной директории и удалил его.
запустил программу uVS
архив с образом автозапуска в аттаче.

Прикрепленные файлы

КОМПЛИСИТЕ-НОУТ_2015-03-10_12-22-06.7z (670.72 КБ)

Сообщений: 5

Баллов: 2

Регистрация: 10.03.2015

Размещено 10.03.2015 09:41:07

а вот то самое вложение из письма которое ЗАРАЖАЕТ ПК
пароль на архив virus

Изменено: Валентин - 15.03.2018 10:05:23

Сообщений: 5

Баллов: 2

Регистрация: 10.03.2015

Размещено 10.03.2015 09:51:15

а вот один из зашифрованных файлов
http://rghost.ru/7sthx6tcc

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2015 10:14:49

образ сейчас гляну,
архив с scr был во вложении почты, или скачивался по ссылке из сети?

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2015 10:42:09

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT delall %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE delall %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL del %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.QIP.RU/ regt 28 regt 29 ; Pandora Service exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe ; etranslator exec C:\Users\Комплисите\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall ; Time tasks exec C:\ProgramData\Schedule\uninstall.exe ; Remote Desktop Access (VuuPC) exec C:\Users\Комплисите\AppData\Roaming\VOPackage\uninstall.exe ; Zaxar Games Browser exec C:\Program Files (x86)\Zaxar\uninstall.exe deldir %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\VOPACKAGE deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

regt 28
regt 29
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe
; etranslator
exec  C:\Users\Комплисите\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Time tasks
exec  C:\ProgramData\Schedule\uninstall.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Комплисите\AppData\Roaming\VOPackage\uninstall.exe
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
deldir %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\VOPACKAGE
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте возможность восстановления доков из теневой копии.
3. по расшифровке документов: если у вас есть лицензия на продукт Есета, отправьте несколько защифрованных документов, а так же архив с вредоносной программой в техподдержку
[email protected]

Изменено: santy - 15.03.2018 10:05:23

[ Как создать образ автозапуска? ]

Пред. 1 ... 9 10 11 12 13 ... 25 След.