Перейти к содержанию

Помогите с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0.doubleoffset

mav22ru
 Share

Рекомендуемые сообщения

mav22ru Новичок

mav22ru

Опубликовано
Опубликовано

На сервер залез шифровальщик (скорее всего по RDP).

 

Почти все файлы поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset

 

Помогите расшифровать.. :) ..возможно материальное вознаграждение!))

CollectionLog-2019.01.24-13.04.zip

11.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

 

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
mav22ru Новичок

mav22ru

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло...

CollectionLog-2019.01.24-14.43.zip

Изменено пользователем Sandor
Убрал карантин
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Утилиту запускали правой кнопкой от имени администратора?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
mav22ru Новичок

mav22ru

Опубликовано
  • Автор
Опубликовано

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM-x32\...\Run: [294445] => 294445
HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION
2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
mav22ru Новичок

mav22ru

Опубликовано
  • Автор
Опубликовано

  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mav22ru Новичок

mav22ru

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.

 

Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы...

Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина...

Если расшифрует кто, заплатим!!! :help:

p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :)

___________________________________________________________________________

:cool2: скинул расшифровыватель!!!! :cool2:  4 часа ждал.... ппц..... вроде работает... 

отпишусь ещё о результатах дешифровки....

Search_keys_exe and data_ini.7z

Ссылка на комментарий
Поделиться на другие сайты
  • 5 weeks later...
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      От Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • besdelnick
      Добрый день. Поймали шифровальщика по RDP. Помогите пожалуйста
      От besdelnick
      MS_AgentSigningCertificate.cer.rar
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Danila05
      Помогите удалить майнер
      От Danila05
      Запускаю Avbr и каждый раз после проверки, вылетает красная строка где написан путь к файлу и пишет что трубуется перегрузка. Сколько раз не перезагружался пк, проблема остается. 

    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...