Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Шифровальщик scratch99@protonmail.com

Сергей Чечулин

Автор Сергей Чечулин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Чечулин

Сергей Чечулин

Опубликовано
Опубликовано

Добрый день

Словили шифровальщика, подозрение на Cryakl, но расшифровщики касперского не помогают.

Прилагаю записку, комплект файлов и логи.

В файлах пошифровано сравнительно небольшой начальный блок.

Что можно сделать для расшифровки?

CollectionLog-2020.01.18-05.03.zip

CryaklCrypted.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

подозрение на Cryakl

Да, одна из последних его версий.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Здесь:

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\Run: [927908] = 927908  (file missing)
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.msc DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.msc DELETE SYSTEMSTATEBACKUP -keepVersions:0
O22 - Task: WMICRestore - C:\Windows\System32\Wbem\wmic.exe SHADOWCOPY DELETE
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nemir
      Прошу помощи с шифровальщиком
      Автор Nemir
      Добрый день! Успешно словили шифровальщика scratch99@protonmail.com Если есть возможность расшифровать, прошу помочь. Прикладываю лог.
      CollectionLog-2020.01.23-21.03.zip
    • akozlov
      Зашифрованы все файлы на сервере
      Автор akozlov
      прикрепил вредоносный файл 
      выяснил что это крякл но все файлы разных расширений 
      1 Result Cryakl  
      README.txt

    • sbaideq
      Шифровальщик scratch99
      Автор sbaideq
      Добрый день!
      недавно заметил что пару дней назад зашифровались все файлы на пк, кроме системных.
      контакты хулигана scratch99@protonmail.com
      or telegram: @assist_decoder CollectionLog-2020.01.20-20.34.zip
    • UncleJeen
      Шифровальщик зашифровал все файлы и базы 1С
      Автор UncleJeen
      Добрый день форумчане! Подскажите, пожалуйста, что делать! Шифровальщик зашифровал все файлы приложений и баз данных 1С на компьютере.   на https://noransom.kaspersky.com/ru/ почитал, похожий на мой случай ничего не нашел. Шифровальщик просит обратиться для расшифровки на почту scratch99@protonmail.com. Помогите, комп является сервером баз данных 1С, работа стоит! Заранее благодарю за полный ответ с инструкциями действий. Так как  встречаюсь с этим впервые. Логи прилагаю
    • crin
      Поймали непонятного шифровальщика. Есть шансы на расшифровку?
      Автор crin
      Добрый день,
      Шифровальщик, судя по дате, отработал в нерабочее время, т.е. вроде никто ничего не запускал. Источник пока не нашли.

      Шифровальщик также смог достучаться до сетевой папки, НЕ подключенной в качестве диска. По дате изменений обнаружили, что шифровать начало именно с неё, в ней же, в самой первой папке появился файл 37 мегабайт, закамуфлированный под xlsx файл, а также на один килобайт изменился размер одного jpg изображения.
      Бэкапы сработали хорошо, поэтому наши потери от шифровальщика минимальные: придется переустановить винду на зараженном компе. При этом есть 100 гигабайт шифрованной информации и её незашифрованной копии. На файл 37 Мб подозрение, что это что-то типа базы данных ключей шифрования для файлов, а в файлик изображения, вероятно, еще один ключ впихнули.  Если нужно для анализа - можем предоставить.
      Резервирование товара - инструкция.docxscratch99@protonmail.com_sel11739585976-1577632703.zip
×
×
  • Создать...