Перейти к содержанию

Рекомендуемые сообщения

Добрый день! В апреле поймали Trojan-Ransom.Win32.Cryakl ([reddragon3335799@protonmail.ch][sel4].[17676B01-CDA0675C]) на компьютере.

Логи приложил от сегодняшнего числа.

CollectionLog-2020.07.06-11.31.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Тема перенесена. Прочтите и выполните немного другой Порядок оформления запроса о помощи для этого раздела.

Ссылка на сообщение
Поделиться на другие сайты

Прикладываю логи анализа системы при помощи Farbar Recovery Scan Tool.

и архив с двумя файлами и сообщением. 

Addition.txt FRST.txt архив.docx[reddragon3335799@protonmail.ch][sel4].zip

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, эта версия вымогателя не поддается расшифровке.

 

SpyHunter4 деинсталлируйте как нежелательное ПО.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Версия crylock 1.9.2.1

 

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.719.18362.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 13.8.2 Basic v.13.8.2 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.4.4445 Внимание! Скачать обновления
Microsoft Office Single Image 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
 

 

Пароль на RDP смените и спрячьте за VPN.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Спасибо. 
На данном компьютере будет полная переустановка системы.

Пароль сменил и отключил доступ по rdp почти сразу после вируса.

Ссылка на сообщение
Поделиться на другие сайты

Необходимости переустановки нет, вымогатель само-удалился и в логах его следов нет. Но если хотите - ваше право.

Ссылка на сообщение
Поделиться на другие сайты

Переделайте лог FRST.txt, предварительно отметив галочкой позицию "90 days files".

 

Или используйте эту утилиту - https://www.bleepingcomputer.com/forums/t/617257/ransomnotecleaner-remove-ransom-notes-left-behind/

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

К сожалению, эта версия вымогателя не поддается расшифровке.

В апреле еще разгуливала версия 1.9.0.0 :)

 

Расшифрованные файлы https://dropmefiles.com/oHBWR

 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Все получилось расшифровать, благодаря @thyrex! Спасибо

Были проблемы с некоторыми файлами, но они решились удалением в названии файла того, что приписал вирус, как было сказано @thyrex

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] Пойман Trojan-Ransom.Win32.Cryakl
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От WapsTheFast
      Добрый день. Вчера обнаружил, что зашифровали файлы. Есть подозрениlogs.rarе, что через RDP. Похоже на Trojan-Ransom.Win32.Cryakl. Система не переустанавливалась. Приложил логи. Зашифрованные файлы в лс.
    • От Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip файл от бэкапа зашифрованный.zip
    • От capBlack
      Тема уже поднималась не однократно, но тем не менее.
      В апреле в сеансе RDP пострадали от злоумышленников.  можно ли нам помочь?
      прикобразцы файлов.rarFRST.rarрепляю логи FRST и образцы файлов
    • От nik-weter
      Добрый день. По высунутому нарружу RDP зашифровали файлы. По тому что нагуглил - это Trojan-Ransom.Win32.Cryakl. Вроде версию  1.9.0.0 здесь помогали расшифровать, у меня кажется как раз она ([reddragon3335799@protonmail.ch][sel4].[12144836-167A6E10])
      Поможете расшифровать?
      Приложил логи и пару зашифрованных ярлыков, хотел бы получить дешифратор, если можно.
      CollectionLog-2020.08.23-13.41.zip crypted_files.zip
    • От triumf1975
      Здравствуйте, Всем.
      15 апреля нам зашифровали все файлы - *.exl[coronovirus@protonmail.com].[8C4E7B3E-541ED209] и так далее. Проблема возникла из за работы компьютера в режиме "удалённого доступа" - в связи с самоизоляцией сотрудников. Соответственно пострадали и базы 1с7. хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   


      CollectionLog-2020.05.26-10.26.zip
×
×
  • Создать...