Перейти к содержанию

[РАСШИФРОВАНО] Зашифровали файлы. Похоже на Trojan-Ransom.Win32.Cryakl

nik-weter
 Поделиться

Рекомендуемые сообщения

nik-weter

nik-weter

Опубликовано
Опубликовано

Добрый день. По высунутому нарружу RDP зашифровали файлы. По тому что нагуглил - это Trojan-Ransom.Win32.Cryakl. Вроде версию  1.9.0.0 здесь помогали расшифровать, у меня кажется как раз она ([reddragon3335799@protonmail.ch][sel4].[12144836-167A6E10])

Поможете расшифровать?

Приложил логи и пару зашифрованных ярлыков, хотел бы получить дешифратор, если можно.

CollectionLog-2020.08.23-13.41.zip crypted_files.zip

nik-weter

nik-weter

Опубликовано
  • Автор
Опубликовано
6 часов назад, thyrex сказал:

Система переустанавливалась?

 

Нет, систему не переустанавливали. Так как ранее с шифровальщиками дел не имел, а атака судя по всему была через рдп, то я установил обновления которые были не установлены и антивирус с есет на мс поменял.

После этого уже комп вырубил и стал ждать сообщений о расшифровке. По почте reddragon3335799@protonmail.ch нагуглил несколько тем на разных сайтах, там говорилось что не возможно расшифровать. И вот сегодня нашел на этом форуме темы где вы помогли с расшифровкой.

nik-weter

nik-weter

Опубликовано
  • Автор
Опубликовано

Вот зашифрованные файлы, требования и логи. Единственное, от компьютера я сейчас далеко, с собой только диск. Подключил к другому компу, там железо немного отличается, пришлось установить драйвера на сеть.

files.zip logs.zip

thyrex

thyrex

Опубликовано
Опубликовано

Такие логи бесполезны.

 

Проверьте ЛС.

nik-weter

nik-weter

Опубликовано
  • Автор
Опубликовано

Файлы расшифровал. На некоторые дешифратор ругался, но это в основном в ProgramFiles и Windows, так ка использовать эту винду не буду, я не стал заморачиваться.

Все важные документы xls, doc, pdf расшифрованы.

Огромная благодарность thyrex!

thyrex

thyrex

Опубликовано
Опубликовано
7 часов назад, nik-weter сказал:

На некоторые дешифратор ругался, но это в основном в ProgramFiles и Windows

В каком смысле ругался?

thyrex

thyrex

Опубликовано
Опубликовано

Тогда внимательно стоит перечитать ту инструкцию по расшифровке, которая Вам была выдана :)

nik-weter

nik-weter

Опубликовано
  • Автор
Опубликовано

Я читал внимательно. И поэтому указал что "это в основном в ProgramFiles и Windows", мне они не нужны, соответственно другой ключ тоже не нужен. А в папке с документами все отлично. Еще раз благодарю!

  • thyrex изменил название на [РАСШИФРОВАНО] Зашифровали файлы. Похоже на Trojan-Ransom.Win32.Cryakl
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • azm47
      3335799@protonmail.com
      Автор azm47
      Здравствуйте!  
      - Пришли утром в офис. Включаем компьютер 27.03.20 , он загружается до экрана пин-кода. Ввожу код и выходит окно о невозможности войти в систему. Появились доп. Учётные записи. Используем коммерческие продукты KAV.. но на  этом комп был Free. Оч нужна база и документы на диске "Д"...Мяу.
      Возможно ли востановление данных?


      01_дистриб абби .zip 02_фолдер Куасера - SIGNUP.ZIP FRST 27.03.20_.ZIP
    • Alexsm
      Вирус шифровальшик Crylock [balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      Автор Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip файл от бэкапа зашифрованный.zip
    • Cronenberg
      [РЕШЕНО] Ransomware Cryakl 1.9.0.0
      Автор Cronenberg
      Поймали через RDP шифровальщика Crylock. Идентификация показала, что это новая версия уже известного Cryakl, но в этот раз 1.9.0.0 . Шифрованные файлы приобретают вид ПФХД на 31.03.20г..xlsx[reddragon3335799@protonmail.ch][sel2].[BB0D075A-C0E2F937]  Зашифрована ровно половина от оригинального размера файла, в конце файлы дописана служебная информация (размер, имя исходного файла) и открытые ключи. Поиски ключа не увенчались успехом. Огромное СПАСИБО модератору этого и других форумов THYREX за помощь в поиске ключа и расшифровке файлов. Расшифровано практически 100% файлов, за исключением больших файлов (70-80 Гб) ...


    • VODYAN
      [РЕШЕНО] Cryakl 1.9.0.0
      Автор VODYAN
      Добрый день! В конце апреля попался на шифровальщика, который добавил расширение [reddragon3335799@protonmail.ch][sel1].[41746E70-B1499373]. После запроса на расшифровку выяснилось, что это Cryakl версии 1.9.0.0. Недавно обнаружил, что удалось расшифровать данную версию шифровальщика. Логи зараженного ПК прикрепить не смогу, т.к. была перустановлена система. Можете, пожалуйста, помочь?
       
      Примеры_зашифрованных_файлов.rar
    • taurus159
      Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.
      Автор taurus159
      21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.
      Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.
       
      На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.
       
      Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.
       
      Пример файла и логи FRST прикладываю:
       
      how_to_decrypt.hta.zipFRST.zip
      encypted sample.zip
×
×
  • Создать...