файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2017 11:50:40

майнер удален, по поводу RMS - решайте, если не нужен, то удалим скриптом.
возможно через него и был получен доступ к вашему серверу с последующим шифрованием.

Цитата
Полное имя C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE Имя файла RUTSERV.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] www.virustotal.com 2017-06-16 Kaspersky not-a-virus:RemoteAdmin.Win32.Agent.lr BitDefender Gen:Variant.Application.Graftor.154269 DrWeb Tool.RemoteControl.10 ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.D potentially unsafe

Цитата

Полное имя C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
Имя файла RUTSERV.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

www.virustotal.com 2017-06-16
Kaspersky not-a-virus:RemoteAdmin.Win32.Agent.lr
BitDefender Gen:Variant.Application.Graftor.154269
DrWeb Tool.RemoteControl.10
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.D potentially unsafe

по расшифровке не поможем, проверьте, возможно теневые копии остались.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 11:57:45

Давайте удалим, всё равно ничего не работает((
Появилась проблема - не даёт по удалёнке подключиться к серверу пользователям

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2017 12:16:30

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE del %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE apply deltmp delref %SystemRoot%\SYSWOW64\MEMSHELL.EXE delref %SystemRoot%\SYSWOW64\HASPLMS.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] ;------------------------------------------------------------- restart

Код


;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
del %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\MEMSHELL.EXE
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 14:00:46

Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?

Прикрепленные файлы

GS-PC_2017-07-05_14-22-33.7z (633.89 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2017 14:29:35

http://www.shadowexplorer.com/

ShadowExplorer позволяет просматривать теневые копий, созданных Windows.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2017 14:57:43

Цитата
Владислав Фета написал: Выполнили и, на всякий случай, прикладываю образ автозагрузки. Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет? И второй вопрос - что за теневые копии?

Цитата

Владислав Фета написал:
Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?

при наличие лицензии на антивирус ESET вы можете написать в техническую поддержку [email protected]
ваше обращение будет принято, даже если на текущий момент нет расшифровки.
понятно, что и антивирусная лаборатория будет работать над дешифратором в том случае, если есть пакет обращений от пострадавших лицензионных пользователей.
пока не будет найдено решение, или получен вывод, что для данного шифратора нет решения по расшифровке без получения приватных ключей.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2017 15:00:27

Цитата
RP55 RP55 написал: http://www.shadowexplorer.com/ ShadowExplorer позволяет просматривать теневые копий, созданных Windows.

+
еще вариант восстановления документов из теневых копий (без этой полезной утилиты ShadowExplorer)
http://www.outsidethebox.ms/9960/#versions

хотя есть большая вероятность, что теневые копии были удалены шифратором

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 15:09:56

Как я понял - теневые копии и восстановление системы - это из одной оперы. К сожалению, на диске D система восстановления Windows была отключена - поэтому вариант только обращаться с письмом в службу поддержки. Как раз сейчас оформляем корпоративную лицензию на NOD32 - как показала практика, Avira, которая стояла до этого, ничего не уберегла((

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2017 15:19:44

да, теневые копии по умолчанию включаются при установке системы только на системном диске,
но и большинство шифраторов умеет отключить защиту диска и удалить теневые копии при наличии прав администратора у пользователя, под которым был запущен шифратор.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2017 17:02:51

Я бы попробовал программы для восстановления данных - само собой всё не восстановите - но часть данных восстановить вполне реально.
Ведь в процессе работы файлы постоянно копируются\перемещаются\удаляются и какая то часть вполне подлежит восстановлению.

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl