Помогите с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0.doubleoffset

[mav22ru]

На сервер залез шифровальщик (скорее всего по RDP).

 

Почти все файлы поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset

 

Помогите расшифровать.. ..возможно материальное вознаграждение!))

CollectionLog-2019.01.24-13.04.zip

11.7z

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

 

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 24 января, 2019 пользователем Sandor

[mav22ru]

Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло...

CollectionLog-2019.01.24-14.43.zip

Изменено 24 января, 2019 пользователем Sandor
Убрал карантин

[Sandor]

Утилиту запускали правой кнопкой от имени администратора?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[mav22ru]

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [294445] => 294445
  HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION
  2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

[mav22ru]

• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.

[mav22ru]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.

 

Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы...

Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина...

Если расшифрует кто, заплатим!!!

p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :)

___________________________________________________________________________

скинул расшифровыватель!!!!   4 часа ждал.... ппц..... вроде работает... 

отпишусь ещё о результатах дешифровки....

Search_keys_exe and data_ini.7z

[It@smoltoys.ru]

Строгое предупреждение от модератора SQ

Предупреждение за нарушение правил раздела "Уничтожение вирусов"

[Wadim72]

Добрый день, а подскажите почему не могу скачать  Search_keys_exe and data_ini.7z???

Зашифровали сервер хотел попробовать данный дешифратор...

[thyrex]

@Wadim72, дешифратора в том вложении все равно нет. Да и чужой ключ Вам не подойдет.

Сообщение от модератора thyrex

Закрыто