файлы зашифрованы в Cryakl с расширением *.cbf , Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

RSS

Сообщений: 1

Регистрация: 06.05.2014

Размещено 06.05.2014 14:50:06

Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *[email protected]* , Cryakl *cbf

------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 17 18 19 20 21 ... 25 След.

Сообщений: 5

Баллов: 2

Регистрация: 16.03.2015

Размещено 05.06.2015 10:22:46

Добрый день, поймал шифровальшик по электронной почте.
[email protected] 0.0.1.0.id-TUUVXYZZABCDDEFGHIIJKLMMOPQQRSTUUVVW-05.06.2015 9@[email protected].cbf
Контроль учетных записей постоянно вылазит с C:\Program Files (x86)\flash.exe
Теневых копий нет.
Лицензия на нод есть.
Образ автозапуска:

Прикрепленные файлы

БУХГАЛТЕР-ПК_2015-06-05_11-10-06.7z (536.55 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.06.2015 10:50:05

1. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\FLASH.EXE addsgn 9ADC50DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC25E2B88C1BFE6A1D9CEC58556A3B5CED461649FA7DDFE97255DAB02C2D77A42F8573501D 8 [email protected] zoo %SystemDrive%\USERS\БУХГАЛТЕР\DESKTOP\MESSAGE.SCR addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 64 Trojan.Packed.30719 [DrWeb] zoo %SystemDrive%\USERS\БУХГАЛТЕР\DESKTOP\MESSAGE.EXE addsgn 1AF28865AA598C225B84FE59C0E61205E6DCAB7DF5DE13F374480A356E3E0CEEDCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 8 [email protected] ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\FLASH.EXE
addsgn 9ADC50DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC25E2B88C1BFE6A1D9CEC58556A3B5CED461649FA7DDFE97255DAB02C2D77A42F8573501D 8 [email protected]

zoo %SystemDrive%\USERS\БУХГАЛТЕР\DESKTOP\MESSAGE.SCR
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 64 Trojan.Packed.30719 [DrWeb]

zoo %SystemDrive%\USERS\БУХГАЛТЕР\DESKTOP\MESSAGE.EXE
addsgn 1AF28865AA598C225B84FE59C0E61205E6DCAB7DF5DE13F374480A356E3E0CEEDCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 8 [email protected]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
2. по расшифровке документов напишите в [email protected]
насколько я знаю, шифраторы с *@aol.com в стадии анализа в вирлабе.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 11.06.2015

Размещено 11.06.2015 14:17:20

Цитата
Добрый день. На почту пришло письмо якобы от судебных приставов (мы организация, бывает всякое, поэтому открыли). Прошли по ссылке, скачался архив, без запроса о согласии на скачиванеи. Спустя час большинство файлов приняли вот такой вид [email protected] 0.0.1.0.id-FMRYFLRXDJPUAGLRXDJOVAGMRXDJOUAFMSXD-18.05.2015 15@ [email protected] . Пострадали все файлы офиса, jpg, векторная графика cdr. Проверили через rectordecryptor и xoristdecryptor. Безрезультатно.

Цитата

Добрый день.
На почту пришло письмо якобы от судебных приставов (мы организация, бывает всякое, поэтому открыли). Прошли по ссылке, скачался архив, без запроса о согласии на скачиванеи. Спустя час большинство файлов приняли вот такой вид [email protected] 0.0.1.0.id-FMRYFLRXDJPUAGLRXDJOVAGMRXDJOUAFMSXD-18.05.2015 15@ [email protected] .
Пострадали все файлы офиса, jpg, векторная графика cdr.
Проверили через rectordecryptor и xoristdecryptor. Безрезультатно.

Такая же проблема, так же пришло письмо от якобы судебных приставов... как восстановить файлы ?

Прикрепленные файлы

ВЛАДЕЛЕЦ-ПК_2015-06-11_13-20-02.7z (639.68 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.06.2015 14:37:00

Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref 0SANTANYR.COM/PRESENTS/NYEAR2.ROA delref HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA delref SANTANYR.COM/PRESENTS/NYEAR2.ROA delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU exec32 MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec32 C:\Program Files (x86)\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe exec32 "C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_BA9226F4C70BECC2.exe" /uninstall exec32 C:\Users\Владелец\AppData\Local\SwvUpdater\Updater.exe /uninstall exec C:\Users\Владелец\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser exec32 "C:\Program Files (x86)\VKMusic 4\unins000.exe" exec32 "C:\ProgramData\VKSaver\VKSaver.exe" -uninstall exec "C:\Users\Владелец\AppData\Local\Yandex\YandexBrowser\Application\41.0.2272.3716\Installer\setup.exe" --uninstall deltmp delnfr restart

Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref 0SANTANYR.COM/PRESENTS/NYEAR2.ROA
delref HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA
delref SANTANYR.COM/PRESENTS/NYEAR2.ROA
delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE
delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
delall %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
exec32 MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec32 C:\Program Files (x86)\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
exec32 "C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_BA9226F4C70BECC2.exe" /uninstall
exec32 C:\Users\Владелец\AppData\Local\SwvUpdater\Updater.exe /uninstall
exec C:\Users\Владелец\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
exec32 "C:\Program Files (x86)\VKMusic 4\unins000.exe"
exec32 "C:\ProgramData\VKSaver\VKSaver.exe" -uninstall
exec "C:\Users\Владелец\AppData\Local\Yandex\YandexBrowser\Application\41.0.2272.3716\Installer\setup.exe" --uninstall
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 6

Баллов: 3

Регистрация: 11.06.2015

Размещено 11.06.2015 16:35:36

Проблема не решилась, не открываются флешки, все файлы всё так же зашифрованы.

Прикрепленные файлы

результат.txt (9.36 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.06.2015 19:25:46

Удалить все объекты в программе, перезагрузить ПК.

В каком смысле не открываются флешки?

Сообщений: 6

Баллов: 3

Регистрация: 11.06.2015

Размещено 11.06.2015 21:33:53

Цитата
zloyDi написал: Удалить все объекты в программе, перезагрузить ПК. В каком смысле не открываются флешки?

Не совсем понял где и в какой программе что удалить.
Флешка с файлами, заходишь в нее, а там пусто. Хотя флешка забита за 3 гига. Ну другие флешки вставлять не пробовали, боимся и их заразить.
Ну теперь уже до понедельника, компьютер на работе...
П,С на свой страх и риск вставил флешку в дом.комп... так же отображается пустой. Сканировал файлы которые на ней антивирусом читаются.

Сообщений: 6

Баллов: 3

Регистрация: 11.06.2015

Размещено 11.06.2015 22:56:02

С файлами на флешке разобрался, просто почему то они стали скрытыми системными файлами...

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 12.06.2015 11:53:17

Цитата
Руслан Алтухов написал: Не совсем понял где и в какой программе что удалить.

В программе MBAM там где выполняли сканирование.

Сообщений: 6

Баллов: 3

Регистрация: 11.06.2015

Размещено 15.06.2015 16:28:44

Цитата

zloyDi написал:

Цитата
Руслан Алтухов написал: Не совсем понял где и в какой программе что удалить.

В программе MBAM там где выполняли сканирование.

Вирус удален вроди как, работать хоть можно... но вся информация... ворд файлы все зашифровано в том числе и музыкальные файлы и фото.
Как их можно расшифровать ?

Прикрепленные файлы

IMG - копия.jpg (327.85 КБ)

IMG.jpg (183.55 КБ)

Пред. 1 ... 17 18 19 20 21 ... 25 След.