Перейти к содержанию

Шифровальщик Cryakl email-tapok@tuta.io.ver-CL 1.5.1.0

Irina_A
 Поделиться

Рекомендуемые сообщения

Irina_A

Irina_A

Опубликовано
Опубликовано (изменено)

Добрый день!

На сервер по RDP подключились злоумышленники и подбросили шифровальщик, который переименовал все файлы по формату: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4197083558-763892348894120995217197.fname-Инструкция.txt.doubleoffset

 

Прошу помочь с поиском дешифратора.

 

Увидела у Вас тему с похожей версией шифровальщика https://forum.kasperskyclub.ru/index.php?showtopic=61674

Изменено пользователем Irina_A
regist

regist

Опубликовано
Опубликовано

архив не полный, попробуйте ещё раз собрать логи.


и антивируса там как понимаю нет вообще? Тогда понятно почему эта система судя по логам уже не первый раз подвергается заражению.

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\nginx\start.cmd', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '');
 QuarantineFile('H:\autolot\3_month_stats_backup\get_stats.bat', '');
 QuarantineFileF('c:\users\ирина\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ирина\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteSchedulerTask('Soft installer');
 DeleteSchedulerTask('SystemMonitor2016');
 DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '64');
 DeleteFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '64');
 DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}w64');
 DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64');
 DeleteService('{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64');
 DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64');
 DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64');
 DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64');
 DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64');
 DeleteService('{34a9de73-8119-4710-8938-8d3ebf75d78f}w64');
 DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}w64');
 DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64');
 DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64');
 DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}w64');
 DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64');
 DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64');
 DeleteService('{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64');
 DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}w64');
 DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}w64');
 DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64');
 DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}w64');
 DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64');
 DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64');
 DeleteService('{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64');
 DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64');
 DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64');
 DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}w64');
 DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64');
 DeleteFileMask('c:\users\ирина\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\ирина\appdata\local\systemmonitor2016', '*', false);
 DeleteDirectory('c:\users\ирина\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\ирина\appdata\local\systemmonitor2016');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Irina_A

Irina_A

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

KLAN-9551634557

В антивирусных базах информация по присланным вами файлам отсутствует:

start.cmd
get_stats.bat
System.Data.SQLite.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.02.04-15.45.zip

Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-02-01 06:53 - 2019-02-01 06:53 - 000088576 _____ () C:\Users\pavel.WIN-V0UC5QOCQPU\AppData\Local\Temp\VWXZACDEFG.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
MSCONFIG\startupreg: 3757891 => 3757891
MSCONFIG\startupreg: 4197083558 => C:\Users\PAVEL~1.WIN\AppData\Local\Temp\2\FFGHIJJKLL.exe
MSCONFIG\startupreg: mpck_en_005030281 => 
MSCONFIG\startupreg: rec_ru_237 => 
MSCONFIG\startupreg: win_en_77 => 
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anastas Dzhabbarov
      шифровальщик Doubleoffset tapok@tuta.io
      Автор Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
×
×
  • Создать...