http://forum.esetnod32.ru Новое в теме файлы зашифрованы в Cryakl CS 1.*.* форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 09:34:18 +0300 файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Olga Nazarova написал:
Добрый вечер.
Информация добавленная к названию файлов
[CS 1.7.0.1][ scratch99@protonmail.com_sel1 ]
все расширения состоят и случайного набора трех букв
ОС linux, поэтому логи скорее всего не сможем предоставить.
Просим помочь с расшифровкой, в том числе платно.
=============
добавьте пару зашифрованный - оригинальный файл (можно поместить в архив) к вашему сообщению
если сохранился файл шифратора, вышлите в почту safety@chklst.ru в архиве с паролем infected
25.04.2020 04:01:05, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108904/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108904/ Sat, 25 Apr 2020 04:01:05 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый вечер.

Необходимо расшифровать файлы после Cryakl
Информация добавленная к названию файлов
[CS 1.7.0.1][scratch99@protonmail.com_sel1]
все расширения состоят и случайного набора трех букв
ОС linux, поэтому логи скорее всего не сможем предоставить.
Просим помочь с расшифровкой, в том числе платно.
24.04.2020 23:10:03, Olga Nazarova.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108903/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108903/ Fri, 24 Apr 2020 23:10:03 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
да, это верное решение.
28.01.2020 17:53:46, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108111/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108111/ Tue, 28 Jan 2020 17:53:46 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо Огромное за помощь и подсказки, вы и так очень помогли. ОС пойдёт под снос, очень много повреждённых файлов, а это уже нестабильность в работе. Советы Ваши приму к сведению. Очень приятно, когда на форуме такие отзывчивые и компетентные администраторы.
28.01.2020 17:46:02, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108110/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108110/ Tue, 28 Jan 2020 17:46:02 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Роман Литвинюк написал:
Плюс отправили файлы в контору, которая занимается расшифровкой, но что-то мне подсказывает, что и они не разберутся.
=============
скорее всего, они сами будут связываться со злоумышленниками, и просить (небесплатно) у них ключи,
так что вы можете сравнить сколько запросят у вас злоумышленники, и сколько "контора, которая занимается расшифровкой".
28.01.2020 17:37:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108109/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108109/ Tue, 28 Jan 2020 17:37:53 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
+ это выполнить:
тем более, что 2008 R2 более не поддерживается.

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD
28.01.2020 17:21:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108108/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108108/ Tue, 28 Jan 2020 17:21:20 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Права всем позакрывал, пароли поменял, остались только у админа права. У остальных пользователей были лёгкие пароли, отсюда и взлом. Сегодня написал злоумышленникам, посмотрим сколько денег запросят. У нас фирма не большая, денег особо нет, чтобы им платить. Плюс отправили файлы в контору, которая занимается расшифровкой, но что-то мне подсказывает, что и они не разберутся.
28.01.2020 17:17:51, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108107/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108107/ Tue, 28 Jan 2020 17:17:51 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Роман Литвинюк написал:
Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:
=============

в данном случае для удаления теневых копий, и бэкапов используются системные файлы, поэтому антивирусы их не станут удалять.


ну остается только порадоваться что не так зашифровали.


====quote====
Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с ondrugs@firemail.cc и введите пароль: поле ниже.
=============

28.01.2020 17:12:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108106/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108106/ Tue, 28 Jan 2020 17:12:49 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:
28.01.2020 17:05:37, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108105/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108105/ Tue, 28 Jan 2020 17:05:37 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Роман Литвинюк написал:
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. https://www.sendspace.com/file/1v2ndn
=============
да, судя по маркеру в защифрованном файле {CS 1.8.0.0}
это Crykl CS 1.8 пока что без расшифровки, как и предыдущая версия CS 1.7.0.1
логи сейчас посмотрю что там есть
да, первого звоночка видимо было недостаточно, и следом за Crysis пришел Крякл
2020-01-27 19:08 - 2019-12-20 21:37 - 000001392 ___SH C:\Program Files (x86)\desktop.ini.id-84280463.[rsa2048@aol.com].bot[graff_de_malfet@protonmail.ch][2217215075-1580151445].xgl

хвосты от Крякла конечно остались, куча зашифрованных файлов, записки о выкупе readme.txt, задачи, которые удаляют теневые копии, бэкапы.


====quote====
2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot
2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover
2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore
2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore

Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
=============
+
много пользователей в системе с правами администраторов.
Buh (S-1-5-21-436013990-1443120828-3181057592-1008 - Administrator - Enabled) => C:\Users\Buh
Glavbuh (S-1-5-21-436013990-1443120828-3181057592-1003 - Administrator - Enabled) => C:\Users\Glavbuh
28.01.2020 16:22:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108104/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108104/ Tue, 28 Jan 2020 16:22:53 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Антивирусы были, но от них ничего не осталось.
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом.
https://www.sendspace.com/file/1v2ndn
TNOD остался со старых времён, давно им не пользуемся.
28.01.2020 15:51:33, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108103/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108103/ Tue, 28 Jan 2020 15:51:33 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Роман Литвинюк написал:
Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.
=============
Crysis у вас побывал на сервере совсем недавно.
23.01.2020 в 15:04:05

судя по образу, у вас от антивирусов остались только рожки, да ножки, или вообще сервер был без антивирусной защиты?
кроме того, на сервер добавлены инструменты взлома
C:\USERS\GLAVBUH\MUSIC\NS.EXE
a variant of Win32/NetTool.Agent.NAH potentially unsafe
Application.Hacktool.Scanner.I
Tool.Ipscan.5
так что вы еще и рискуете тем, что с вашего сервера (айпишника) выполняется поиск уязвимых серверов в сети (возможно что и по внутренней сети было выполнено сканирование)
сделайте еще проверку в FRST
https://forum.esetnod32.ru/forum9/topic2798/
+
добавьте несколько зашифрованных файлов версией CS 1.8
+
не рекомендуем вам использовать подобных программ для защиты ваших данных
TNod User & Password Finder
(сэкономите на лицензии 1000 руб, зато вероятность потерять ваши рабочие документы резко возрастает, без возможности восстановления,
или за выкуп ключей в размере десятков тысяч рублей)
28.01.2020 15:30:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108102/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108102/ Tue, 28 Jan 2020 15:30:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
 Роман Литвинюк  написал:
Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.   https://www.sendspace.com/file/eo6da7  
=============
@Роман Литвинюк,
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[RSA2048@AOL.COM].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.
=============
Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.
28.01.2020 15:07:08, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108101/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108101/ Tue, 28 Jan 2020 15:07:08 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Роман Литвинюк написал:
Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.  https://www.sendspace.com/file/eo6da7
=============
@Роман Литвинюк,
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[RSA2048@AOL.COM].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.
28.01.2020 14:00:16, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108099/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108099/ Tue, 28 Jan 2020 14:00:16 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы в Cryakl CS 1.*.* Filecoder.EQ/Encoder.567/Cryakl в форуме Шифровальщики файлов и подбор дешифраторов.
Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо. https://www.sendspace.com/file/eo6da7
28.01.2020 11:46:25, Роман Литвинюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15675/message108097/ http://forum.esetnod32.ru/messages/forum35/topic15675/message108097/ Tue, 28 Jan 2020 11:46:25 +0300 Шифровальщики файлов и подбор дешифраторов