Перейти к содержанию

Помогите с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0.doubleoffset

mav22ru
 Поделиться

Рекомендуемые сообщения

mav22ru

mav22ru

Опубликовано
Опубликовано

На сервер залез шифровальщик (скорее всего по RDP).

 

Почти все файлы поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset

 

Помогите расшифровать.. :) ..возможно материальное вознаграждение!))

CollectionLog-2019.01.24-13.04.zip

11.7z

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

 

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
mav22ru

mav22ru

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло...

CollectionLog-2019.01.24-14.43.zip

Изменено пользователем Sandor
Убрал карантин
Sandor

Sandor

Опубликовано
Опубликовано

Утилиту запускали правой кнопкой от имени администратора?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

mav22ru

mav22ru

Опубликовано
  • Автор
Опубликовано

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM-x32\...\Run: [294445] => 294445
HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION
2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

mav22ru

mav22ru

Опубликовано
  • Автор
Опубликовано

  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

mav22ru

mav22ru

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.

 

Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы...

Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина...

Если расшифрует кто, заплатим!!! :help:

p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :)

___________________________________________________________________________

:cool2: скинул расшифровыватель!!!! :cool2:  4 часа ждал.... ппц..... вроде работает... 

отпишусь ещё о результатах дешифровки....

Search_keys_exe and data_ini.7z

It@smoltoys.ru

It@smoltoys.ru

Опубликовано
Опубликовано

Строгое предупреждение от модератора SQ
Предупреждение за нарушение правил раздела "Уничтожение вирусов"
  • 5 недель спустя...
thyrex

thyrex

Опубликовано
Опубликовано

@Wadim72, дешифратора в том вложении все равно нет. Да и чужой ключ Вам не подойдет.

Сообщение от модератора thyrex
Закрыто
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Atokarev
      Шифровальщик, помогите решить
      Автор Atokarev
      Помогите пожалуйста определить что за шифровальщик. На момент зараения антивирусов не было установлено. Windows 10.
      README.txt Logs.zip Зашифрованные — копия.zip
    • Руслан057
      Помогите восстановить файлы после вируса gruzinrussian@aol.com
      Автор Руслан057
      Добрый день!
      Помогите восстановить файлы после вируса gruzinrussian@aol.com пример файла высылаю. Заранее спасибо.
      email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id-@@@@@D0FA-8FAE.randomname-DDCAAYWTTTQNMJGECZXURQOKIGDAZX.WUS.rar
    • Admitriev
      Вирус-шифровальщик email-gruzinrussian@aol.com
      Автор Admitriev
      Очень странно зашифровались лишь некоторые файлы исключительно в расшаренных для общего доступа сетевых папках в домене.
      Официальный Kaspersky Endpiont Security 10 для Windows  к сожалению пропустил данную заразу.
      CollectionLog-2017.04.13-14.44.zip
    • yazva
      шифровальщик - drakosha_new@aol.com
      Автор yazva
      Здравствуйте.
      Поймал такой вирус как и когда пока не разобрался этот комп очень редко используется , но всегда включен , файлы зашифровались 10.03.2017 , обнаружил только сегодня.
      На всех дисках файлы стали называться примерно так - email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@D8AF-6E19.randomname-BCCDNNOOPPPQQRRSSTTTTUUVWWXXXX.YYZ и в каждой папке появился текстовый документ с таким содержимым- for decrypt files write you country to drakosha_new@aol.com
      Прошу помощи! 
      CollectionLog-2017.03.21-21.19.rar
    • nameless0209
      Шифрованные данные
      Автор nameless0209
      Добрый день.
      Есть шифрованные данные. Очень хотелось бы восстановить.
      Есть несколько файлов "до шифрования"
       
      Отчет по FRSTи пример зашифрованных файлов.
      FRST.zip
      email-ivanivanov34@aol.com.ver-CL 1.3.1.0.id-@@@@@B8A6-6A29.randomname-SSSTUVWWXYYZABBBCDEEFFGGHIJJKK.LMN.zip
×
×
  • Создать...