Перейти к содержанию

Шифровальщик Cryakl email-tapok@tuta.io.ver-CL 1.5.1.0

Irina_A
 Share

Рекомендуемые сообщения

Irina_A Новичок

Irina_A

Опубликовано
Опубликовано (изменено)

Добрый день!

На сервер по RDP подключились злоумышленники и подбросили шифровальщик, который переименовал все файлы по формату: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4197083558-763892348894120995217197.fname-Инструкция.txt.doubleoffset

 

Прошу помочь с поиском дешифратора.

 

Увидела у Вас тему с похожей версией шифровальщика https://forum.kasperskyclub.ru/index.php?showtopic=61674

Изменено пользователем Irina_A
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

архив не полный, попробуйте ещё раз собрать логи.


и антивируса там как понимаю нет вообще? Тогда понятно почему эта система судя по логам уже не первый раз подвергается заражению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\nginx\start.cmd', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '');
 QuarantineFile('H:\autolot\3_month_stats_backup\get_stats.bat', '');
 QuarantineFileF('c:\users\ирина\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ирина\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteSchedulerTask('Soft installer');
 DeleteSchedulerTask('SystemMonitor2016');
 DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '64');
 DeleteFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '64');
 DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}w64');
 DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64');
 DeleteService('{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64');
 DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64');
 DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64');
 DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64');
 DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64');
 DeleteService('{34a9de73-8119-4710-8938-8d3ebf75d78f}w64');
 DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}w64');
 DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64');
 DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64');
 DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}w64');
 DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64');
 DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64');
 DeleteService('{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64');
 DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}w64');
 DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}w64');
 DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64');
 DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}w64');
 DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64');
 DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64');
 DeleteService('{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64');
 DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64');
 DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64');
 DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}w64');
 DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64');
 DeleteFileMask('c:\users\ирина\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\ирина\appdata\local\systemmonitor2016', '*', false);
 DeleteDirectory('c:\users\ирина\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\ирина\appdata\local\systemmonitor2016');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Irina_A Новичок

Irina_A

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

KLAN-9551634557

В антивирусных базах информация по присланным вами файлам отсутствует:

start.cmd
get_stats.bat
System.Data.SQLite.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.02.04-15.45.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-02-01 06:53 - 2019-02-01 06:53 - 000088576 _____ () C:\Users\pavel.WIN-V0UC5QOCQPU\AppData\Local\Temp\VWXZACDEFG.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
MSCONFIG\startupreg: 3757891 => 3757891
MSCONFIG\startupreg: 4197083558 => C:\Users\PAVEL~1.WIN\AppData\Local\Temp\2\FFGHIJJKLL.exe
MSCONFIG\startupreg: mpck_en_005030281 => 
MSCONFIG\startupreg: rec_ru_237 => 
MSCONFIG\startupreg: win_en_77 => 
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...