Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Зашифрованы файлы. В расширении присутствует "cl_crypt@aol.com"

ArataKun
 Поделиться

Рекомендуемые сообщения

ArataKun Новичок

ArataKun

Опубликовано
Опубликовано

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7z FRST.7z

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Закройте и сохраните все открытые приложения.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
File: C:\Windows\System32\svсhоst.exe
Zip: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
HKLM\...\StartupApproved\StartupFolder: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "C:\Users\jenya\AppData\Roaming\Info.hta"
HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta"
Reboot:
End::

 

  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 


На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке через данную форму.

 

Шифровальщик похоже из семейства в Dharma, насколько мне известно расшифровки нет.

При наличии лицензии на антивирус Касперского попробуйте создать запрос:

Ссылка на комментарий
Поделиться на другие сайты
koa1982 Новичок

koa1982

Опубликовано
Опубликовано

cl_crypt@aol.com

12 часов назад, ArataKun сказал:

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7zНедоступно FRST.7zНедоступно

Точно такая же история, id-DBE17551.

штатный "ЗАЩИТНИК" определил как Ranson:Win32/wadharma!hoa

файл exploit.exe закрыл в карантин. Если нужен могу выцарапать.

 

Ссылка на комментарий
Поделиться на другие сайты
ArataKun Новичок

ArataKun

Опубликовано
  • Автор
Опубликовано

Приложил Fixlog.txt.

Что касается <date>.zip, то архив у меня с нулевым весом. Видимо, пустой. Да и при загрузке по форме выдаётся "Ошибка загрузки. Данный файл уже был загружен".

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Видимо шифровальщик зачистил свои следы.

Как ранее было сказано, расшифровки нет на данный момент.

Если будете пробовать обращаться в тех. поддержку ЛК, сообщите пожалуйста результат тут.

 

Ссылка на комментарий
Поделиться на другие сайты
ArataKun Новичок

ArataKun

Опубликовано
  • Автор
Опубликовано

Покупать ради этого лицензию Касперского я не буду хотя бы потому, что шансы на расшифровку крайне малы. Так что в моём случае данные утеряны безвозвратно. Благодарю за помощь.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      Автор Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • DennisKo
      Зашифровали файлы расширение ANDRE
      Автор DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
×
×
  • Создать...