Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl , cbf ver 4.0.0.0-8.0.0.0; CL 0.0.1.0-1.3.1.0

RSS
Добрый день!
Вирус найден, обезврежен, но все файлы зашифрованы и открываются в виде крючков и значков. Как восстановить?
зашифровано *vpupkin3@aol.com* , Cryakl *cbf


------------
версия CL 1.4-1.4.1.0 fairytail может быть расшифрована. для проверки расшифровки необходима чтобы была пара чистый- зашифрованный файл. Размер файлов не менее 100кб

Ответы

Пред. 1 ... 80 81 82 83 84 ... 97 След.
Схватил шифровальщика. Файлы типа email-trojanencoder@aol.com.ver-CL 1.2.0.0.id и т.д. Помогите решить проблему.
Прилагаю образ автозапуска
Изменено: Дмитрий Барабанов - 16.03.2018 09:29:20
Дмитрий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\ADVANCED WOMAN CALENDAR\WOMANCALENDAR.EXE

delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE

delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\JID1-N5ARDBZHKUEDAA@JETPACK.XPI

; SuperMegaBest version 3.4.5
exec  C:\Windows\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Файлы по прежнему зашифрованы, на рабочем столе так же стоит картинка с письмом вымогателя.
заставку на рабочем столе вручную смените,
расшифровка - это отдельная процедура,
скриптом файлы не расшифровать.
И каким образом это сделать?
написано ведь выше:
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Сейчас у меня пробная версия. Если я куплю лицензию - какова вероятность решения проблемы с зашифрованными файлами?
вероятность решения проблемы с расшифровкой не зависит от того купите вы лицензию или нет.
Случаев зашифровки файлов этим шифратором предостаточно на форуме.
Цитата
Дмитрий Барабанов написал:
Сейчас у меня пробная версия. Если я куплю лицензию - какова вероятность решения проблемы с зашифрованными файлами?
Для этого шифровальщика практически нулевая.
Бухгалтер  на автомате открыла и теперь лишились всех баз 1С. Огромная просьба помочь с расшифровкой. Теневых копий нет.
В письме лежал cab-архив.
Пред. 1 ... 80 81 82 83 84 ... 97 След.
Читают тему (гостей: 3)