Перейти к содержанию

Файлы зашифрованы фантомасом

Vovinski
 Поделиться

Рекомендуемые сообщения

Vovinski

Vovinski

Опубликовано
Опубликовано

Здравствуйте! Вчера на почту пришло сообщение с вложением, его открыли, после чего все файлы зашифровались с ключом на конце 

 

-----.docx.id-{XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940}-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0

 

в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo 

 

можно ли попытаться расшифровать документы? спасибо!

 

 


и еще пример зашифрованного файла


и тот же документ но незашифрованный

CollectionLog-2014.10.17-10.06.zip

письмо.docx.id-XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0.rar

письмо.docx

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo 

Строгое предупреждение от модератора Roman_Five
так делать нельзя.

 

вложение удалил.

thyrex

thyrex

Опубликовано
Опубликовано

NetworkSafety App version 2.18 удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\WinRar\codec.exe','');
QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\WinRar\codec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
DeleteFileMask('C:\Program Files\RarLab', '*', true);
DeleteDirectory('C:\Program Files\RarLab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Список установленных расширений для браузеров напишите

Vovinski

Vovinski

Опубликовано
  • Автор
Опубликовано

NetworkSafety App version 2.18 удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\WinRar\codec.exe','');
QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\WinRar\codec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
DeleteFileMask('C:\Program Files\RarLab', '*', true);
DeleteDirectory('C:\Program Files\RarLab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Список установленных расширений для браузеров напишите

 

 

KLAN-2074498210

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

codec.exe - Trojan-Ransom.Win32.Cryakl.bo

 

Детектирование файла будет добавлено в следующее обновление.

 

error.vbs,

NO_PWDS_report_16-10-2014_14-05-35-6F1D1445DAD951E885ACBAFE0C0D468F-KEAB.bin,

NO_PWDS_report_16-10-2014_14-05-55-6F1D1445DAD951E885ACBAFE0C0D468F-HDGN.bin,

oops.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

И иожно ли попробовать расшифровать файлы, если есть кодек?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Сделайте новые логи

 

 Список установленных расширений для браузеров напишите

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • clobase
      trojan.packed2.45303 vulkaninfo
      Автор clobase
      Др веб нашел троян в файлах vulkaninfo, но при попытки лечения выдает ошибку.
    • Otola
      Vulkan
      Автор Otola
      Аналогично сегодня ругается на вулкан. И не лечит его, и не перемещает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...