cryakl Помогите с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0.doubleoffset

24 января, 2019

На сервер залез шифровальщик (скорее всего по RDP).

Почти все файлы поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset

Помогите расшифровать.. ..возможно материальное вознаграждение!))

CollectionLog-2019.01.24-13.04.zip

11.7z

24 января, 2019

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 24 января, 2019 пользователем Sandor

24 января, 2019

Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло...

CollectionLog-2019.01.24-14.43.zip

Изменено 24 января, 2019 пользователем Sandor
Убрал карантин

24 января, 2019

Утилиту запускали правой кнопкой от имени администратора?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

24 января, 2019

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

24 января, 2019

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [294445] => 294445
HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION
2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

24 января, 2019

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

24 января, 2019

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Папку C:\FRST пока не удаляйте.

24 января, 2019

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Папку C:\FRST пока не удаляйте.

Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы...

Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина...

Если расшифрует кто, заплатим!!!

p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :)

___________________________________________________________________________

скинул расшифровыватель!!!! 4 часа ждал.... ппц..... вроде работает...

отпишусь ещё о результатах дешифровки....

Search_keys_exe and data_ini.7z

25 января, 2019

Строгое предупреждение от модератора SQ

Предупреждение за нарушение правил раздела "Уничтожение вирусов"

25 февраля, 2019

Добрый день, а подскажите почему не могу скачать Search_keys_exe and data_ini.7z???

Зашифровали сервер хотел попробовать данный дешифратор...

25 февраля, 2019

@Wadim72, дешифратора в том вложении все равно нет. Да и чужой ключ Вам не подойдет.

Сообщение от модератора thyrex

Закрыто

cryakl Помогите с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0.doubleoffset

Рекомендуемые сообщения

mav22ru

Sandor

mav22ru

Sandor

mav22ru

Sandor

mav22ru

Sandor

mav22ru

It@smoltoys.ru

Wadim72

thyrex

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum