Перейти к содержанию

[РЕШЕНО] Ransomware cryakl 1.5.1

imagic
 Share

Рекомендуемые сообщения

imagic Новичок

imagic

Опубликовано
Опубликовано (изменено)

Добрый день.

Попал по раздаче на ransomware. В вашем форуме заметил лечение конкретного пользователя от данного шифровальщика - тема blackdragon43@yahoo.com. Как я понимаю, версия та же, 1.5.1.0. Таким образом, у меня есть шанс восстановить?

 

Пример названия файла:

email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Autoruns.exe.doubleoffset

 

Порадуйте меня, пожалуйста, чем сможете  :)

 

На данный момент читаю порядок оформления запроса о помощи. По мере возможности обновлю тему.

 

Кстати, уже назрел вопрос: я извлёк жёсткий диск из жертвы и открыл его через USB адаптер на ноуте. Соответственно, загрузка произведена с другой системы, незаражённой. Какие требования в данном случае для корректной идентификации проблеммы?

Изменено пользователем imagic
Ссылка на комментарий
Поделиться на другие сайты
imagic Новичок

imagic

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепите пару файлов зашифрованный и его оригинал... что будет с системой которая живет на проблемном диске?

Если есть малейшая возможность, - восстановлю из бэкапа. Его надо будет расшифровать.

 

Если подходит, следующим сообщением прикреплю екзешник autoruns.exe. Если же нет, придётся поискать что-то подходящее.

Изменено пользователем imagic
Ссылка на комментарий
Поделиться на другие сайты
imagic Новичок

imagic

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепите пару файлов зашифрованный и его оригинал... что будет с системой которая живет на проблемном диске?

 

 

Лучше текстовый документ

В прикреплённом архиве файл readme из драйвера. Это то, что я наверняка знаю, что оно оригинально.

 

Дайте знать, если надо выбрать что-то другое. Спасибо заранее. )

driver.zip

Изменено пользователем imagic
Ссылка на комментарий
Поделиться на другие сайты
imagic Новичок

imagic

Опубликовано
  • Автор
Опубликовано

Уважаемые,

 

Спасибо за дешифратор. Практически всё расшифровано, но на некоторые файлы пишет "Помилка! Ключ дешифрации не подошёл для файлов."

Как же быть? Как знать наверняка, что расшифровка других файлов произведена успешно?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

но на некоторые файлы пишет

Уточните, на какие именно? (тип, размер)

Как знать наверняка, что расшифровка других файлов произведена успешно?

Эти открываются нормально?
Ссылка на комментарий
Поделиться на другие сайты
imagic Новичок

imagic

Опубликовано
  • Автор
Опубликовано

 

но на некоторые файлы пишет

Уточните, на какие именно? (тип, размер)

Как знать наверняка, что расшифровка других файлов произведена успешно?

Эти открываются нормально?

 

Backup.bkf, размером в 6 100 499 719 байт. Есть ограничения на размер, т.к. ряд других bkf расшифрованы?

Ссылка на комментарий
Поделиться на другие сайты
imagic Новичок

imagic

Опубликовано
  • Автор
Опубликовано

Ребята,

Спасибо за помощь! У меня почти всё получилось! Не получилось расшифровать только откровенно большие файлы, больше 4 ГБ. Видимо, ограничение ФАТ32, да? Не важно!

Не получилось восстановить прежнюю систему - некоторые системные файлы были заменены "злоумышленником" или повреждены даже без шифровки. Поэтому систему переустанавливал сверху, но видимо придётся снести и установить на чистовик.

Что же касается чистки файлов, кстати, очень помог Тотал Коммандер: с его помощью я настроил тип выборки и переместил в отдельную папку содержимое всех папок, которое соответствовало правилам выборки (в моём случае, файл readme.txt размером в 61 байт), после чего смог удалить одним движением все ненужные файлы. Сейчас думаю, что делать с файлами с расширением doubleoffset? Ещё не удалял. :D

 

Ещё раз спасибо всем!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Павел11
      [РЕШЕНО] heur.trojan.multi.genbadur.genw
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      [РЕШЕНО] HEUR:Trojan.Script.Generic
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не удалить!
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
×
×
  • Создать...