файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

Пред. 1 ... 58 59 60 61 62 ... 72 След.
Здравствуйте, поймали шифровальщик email-cryptolocker@aol.com_graf1.ver-CL 1.0.0.0.u.id-BCDEGGHHIJKKKLMMNOPPPQRRSTTTUVWWXYYY-14.06.2016 12@40@095099486@@@@@BE3D-61ED.randomname-XZBCDEFGHHIIJKLLMMNNOPQRRRSTUU.VVW. Образ прикрепляю.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SERVICE.EXE
addsgn 1A9C759A5583CC8CF42BFB3A8843570D7301B4CA8A3210CFC4D748ED48D5A1439456C53CCE7D9EBB1056F086CD5B45C137D39A78DE98B82F6F7B9FE7B50AA1B1 8 cryptolocker@aol.com

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CODEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

regt 2
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_*-*-*_*-*-*.rar/7z) из папки uVS отправить в почту safety@chklst.ru, sendvirus2011@gmail.com
----------
судя по файликам: codec.exe/service.exe - это ближе к версии CL 1.3.0.0
Изменено: santy - 22.02.2020 14:53:48
Цитата
santy написал:
судя по файликам: codec.exe/service.exe - это ближе к версии CL 1.3.0.0
Значит, это не есть хорошо?
Цитата
Cавва Степанов написал:
Цитата
santy   написал:
судя по файликам: codec.exe/service.exe - это ближе к версии CL 1.3.0.0
Значит, это не есть хорошо?
по расшифровке файлов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Добрый день, история классическая, на почту пришло письмо с документацией, в которой сотрудник скачал архив и файл с расширением .scr. Через некоторое время все документы зашифровались с подобный формат :"email-iizomer@aol.com.ver-CL 1.0.0.0.u.id-YZZABCCDEEEFGHIIIJJKLLMMMNNOPPQQRRRS-27.06.2016 10@29@314286519@@@@@DE6C-FF46.randomname-ZABCDDDDEFFGGHHIIIIJKKLLMMMMNN.OPP.cbf". Через некоторое время появилась заставка на рабочем столе с требованием написать на указанную почту с целью восстановления зашифрованных данных.

Была проведена проверка системы на вирусы после зашифровки данных и сам вирус-шифровальщик был удален.

1) Прикладываю ссылку на образ автозапуска системы http://rgho.st/6nd78yZDp
2) Высылаю архив с паролем "infected" на почту safety@chklst.ru
3) Добавляю в архив пару зашифрованных файлов, файл заставки, и два файла, созданные во время шифрования. http://rgho.st/89MGCsbfK
Иван Квасов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://OVGORSKIY.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Цитата
O K написал:
К сожалению, столкнулся с той же проблемой:  email-iizomer@aol.com.ver-CL  1.0.0.0.u.id, данные на компьютере зашифровались......
добавьте образ автозапуска для очистки системы от тел шифратора.
Добрый день! Словил шифровальщик. Помогите, пожалуйста. Файл образа автозапуска прикрепил.
А как вылечить файлы на флешке?
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

addsgn 1A074E9A5583C58CF42B254E3143FE6D79AEBEF676EF2358C7C3407C24C319000755C307C140A5696980015F3213B68F7520382F96514F79A69B5B5ACFEEEA8C 8 Win32/Filecoder.NDT [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\EXTENSIONS\JID1-N5ARDBZHKUEDAA@JETPACK\INSTALL.RDF

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\NSBCE7E.TMPFS

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\JNSGD67.TMP

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\60B66472-1426937229-DD11-B527-A2EE1B23D67B\SNSI6894.TMP

del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\WWW.ACOUSTICA.COM\?SRC=IMIX-PROG-MENU

regt 27
regt 28
regt 29
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Спасибо. Новые файлы не заражаются.
Лицензии у меня нет.
Чтобы расшифровать все файлы, необходимо купить лицензию и написать в поддержку?
Пред. 1 ... 58 59 60 61 62 ... 72 След.
Читают тему (гостей: 1)