Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день. По высунутому нарружу RDP зашифровали файлы. По тому что нагуглил - это Trojan-Ransom.Win32.Cryakl. Вроде версию  1.9.0.0 здесь помогали расшифровать, у меня кажется как раз она ([reddragon3335799@protonmail.ch][sel4].[12144836-167A6E10])

Поможете расшифровать?

Приложил логи и пару зашифрованных ярлыков, хотел бы получить дешифратор, если можно.

CollectionLog-2020.08.23-13.41.zip crypted_files.zip

Опубликовано
6 часов назад, thyrex сказал:

Система переустанавливалась?

 

Нет, систему не переустанавливали. Так как ранее с шифровальщиками дел не имел, а атака судя по всему была через рдп, то я установил обновления которые были не установлены и антивирус с есет на мс поменял.

После этого уже комп вырубил и стал ждать сообщений о расшифровке. По почте reddragon3335799@protonmail.ch нагуглил несколько тем на разных сайтах, там говорилось что не возможно расшифровать. И вот сегодня нашел на этом форуме темы где вы помогли с расшифровкой.

Опубликовано

Вот зашифрованные файлы, требования и логи. Единственное, от компьютера я сейчас далеко, с собой только диск. Подключил к другому компу, там железо немного отличается, пришлось установить драйвера на сеть.

files.zip logs.zip

Опубликовано

Такие логи бесполезны.

 

Проверьте ЛС.

Опубликовано

Файлы расшифровал. На некоторые дешифратор ругался, но это в основном в ProgramFiles и Windows, так ка использовать эту винду не буду, я не стал заморачиваться.

Все важные документы xls, doc, pdf расшифрованы.

Огромная благодарность thyrex!

Опубликовано
7 часов назад, nik-weter сказал:

На некоторые дешифратор ругался, но это в основном в ProgramFiles и Windows

В каком смысле ругался?

Опубликовано

Тогда внимательно стоит перечитать ту инструкцию по расшифровке, которая Вам была выдана :)

Опубликовано

Я читал внимательно. И поэтому указал что "это в основном в ProgramFiles и Windows", мне они не нужны, соответственно другой ключ тоже не нужен. А в папке с документами все отлично. Еще раз благодарю!

  • thyrex изменил название на [РАСШИФРОВАНО] Зашифровали файлы. Похоже на Trojan-Ransom.Win32.Cryakl
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • azm47
      Автор azm47
      Здравствуйте!  
      - Пришли утром в офис. Включаем компьютер 27.03.20 , он загружается до экрана пин-кода. Ввожу код и выходит окно о невозможности войти в систему. Появились доп. Учётные записи. Используем коммерческие продукты KAV.. но на  этом комп был Free. Оч нужна база и документы на диске "Д"...Мяу.
      Возможно ли востановление данных?


      01_дистриб абби .zip 02_фолдер Куасера - SIGNUP.ZIP FRST 27.03.20_.ZIP
    • Alexsm
      Автор Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip файл от бэкапа зашифрованный.zip
    • Cronenberg
      Автор Cronenberg
      Поймали через RDP шифровальщика Crylock. Идентификация показала, что это новая версия уже известного Cryakl, но в этот раз 1.9.0.0 . Шифрованные файлы приобретают вид ПФХД на 31.03.20г..xlsx[reddragon3335799@protonmail.ch][sel2].[BB0D075A-C0E2F937]  Зашифрована ровно половина от оригинального размера файла, в конце файлы дописана служебная информация (размер, имя исходного файла) и открытые ключи. Поиски ключа не увенчались успехом. Огромное СПАСИБО модератору этого и других форумов THYREX за помощь в поиске ключа и расшифровке файлов. Расшифровано практически 100% файлов, за исключением больших файлов (70-80 Гб) ...


    • VODYAN
      Автор VODYAN
      Добрый день! В конце апреля попался на шифровальщика, который добавил расширение [reddragon3335799@protonmail.ch][sel1].[41746E70-B1499373]. После запроса на расшифровку выяснилось, что это Cryakl версии 1.9.0.0. Недавно обнаружил, что удалось расшифровать данную версию шифровальщика. Логи зараженного ПК прикрепить не смогу, т.к. была перустановлена система. Можете, пожалуйста, помочь?
       
      Примеры_зашифрованных_файлов.rar
    • taurus159
      Автор taurus159
      21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.
      Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.
       
      На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.
       
      Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.
       
      Пример файла и логи FRST прикладываю:
       
      how_to_decrypt.hta.zipFRST.zip
      encypted sample.zip
×
×
  • Создать...