Перейти к содержанию
Сезон прогнозов — 2020!
Номинация журнала GQ - Бизнесмен года
Конкурс мемов о "Лаборатории Касперского"

Зашифрованы файлы. В расширении присутствует "cl_crypt@aol.com"

ArataKun
 Share Подписчики 1

Рекомендуемые сообщения

ArataKun

ArataKun 0

Опубликовано
Опубликовано

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7z FRST.7z

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 729

Опубликовано
Опубликовано

Здравствуйте,

Закройте и сохраните все открытые приложения.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
File: C:\Windows\System32\svсhоst.exe
Zip: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
HKLM\...\StartupApproved\StartupFolder: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "C:\Users\jenya\AppData\Roaming\Info.hta"
HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta"
Reboot:
End::

 

  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 


На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке через данную форму.

 

Шифровальщик похоже из семейства в Dharma, насколько мне известно расшифровки нет.

При наличии лицензии на антивирус Касперского попробуйте создать запрос:

Ссылка на сообщение
Поделиться на другие сайты
koa1982

koa1982 0

Опубликовано
Опубликовано

cl_crypt@aol.com

12 часов назад, ArataKun сказал:

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7zНедоступно FRST.7zНедоступно

Точно такая же история, id-DBE17551.

штатный "ЗАЩИТНИК" определил как Ranson:Win32/wadharma!hoa

файл exploit.exe закрыл в карантин. Если нужен могу выцарапать.

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 827

Опубликовано
Опубликовано

@koa1982, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
ArataKun

ArataKun 0

Опубликовано
  • Автор
Опубликовано

Приложил Fixlog.txt.

Что касается <date>.zip, то архив у меня с нулевым весом. Видимо, пустой. Да и при загрузке по форме выдаётся "Ошибка загрузки. Данный файл уже был загружен".

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 729

Опубликовано
Опубликовано

Видимо шифровальщик зачистил свои следы.

Как ранее было сказано, расшифровки нет на данный момент.

Если будете пробовать обращаться в тех. поддержку ЛК, сообщите пожалуйста результат тут.

 

Ссылка на сообщение
Поделиться на другие сайты
ArataKun

ArataKun 0

Опубликовано
  • Автор
Опубликовано

Покупать ради этого лицензию Касперского я не буду хотя бы потому, что шансы на расшифровку крайне малы. Так что в моём случае данные утеряны безвозвратно. Благодарю за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Вячеслав_SSh
      Ключ от [decrypt@null.net].zxcv ?
      От Вячеслав_SSh
      Всем здрасте. 
      Намотали девочки этот шифровальщик на работе, потерь инфы нет из-за бакапов.
       
      Но:
      Среди зашифрованных есть файлик длиной 256 байт, который есть в изначальном виде длиной 4 байт.
      Главная особенность этого файлика - в изначальном виде все 4 байта у него $00
      Т.е. этот файлик в HEX:  00 00 00 00
      После шифрации он 256 байт, из которых первые 84 байта его имя и тп.
      И подобных мелких или изначально нулевых файлов множество.
      Открытый ключ тоже сохранён - заражение через виртуальную машину по рдп было..
       
      Если Лаб.Касперского интересно создать дешифратор для этой гадости - буду рад всё отправить.
       
       
       
       
    • АндрейЛ
      расшифровка [backdata.company@aol.com].ROGER
      От АндрейЛ
      День добрый!
       
      Вирус пришел по RDP и встал в автозагрузку, успел попортить ряд документов до того, как был остановлен.
      Буду благодарен, если появилcя или появится декриптор..
       
      Пример файлов - исходного и зашифрованного EMenuRus.lng в папке
      https://drive.google.com/drive/folders/1WRLXqlWsNhSqUeAnloQ5JiGTvGGfjmzk?usp=sharing
       
      Там же с паролем 1 лежит сам вирус..
    • -Dmitry-
      Зашифровали данные
      От -Dmitry-
      Добрый день поймали шифровальщика crimecrypt@aol.com SMPL . Поздно среагировали. с сайта не отвечают. 
      Pictures.7z log_FRST.rar
    • Yak
      Очистка системы после шифровальщика Crusis
      От Yak
      Добрый день.
      Сервер windows 2008 R2. По RDP поймали шифровальщика Crusis. 
      При обнаружении перезагрузил сервер, прогнал Касперский Virus Removal Tool. KVRT находил тело вируса после первого и второго проходов.
      Сначала в паке пользователя, через которого произошло заражение (AppData\Roaming\winhost.exe, потом в папке C:\Users\Public\Sample Music\winhost.exe c Crusis и local.exe с NetTool.Win32.Scan.ot 
      Сейчас KVRT ничего не находит, но закралась уверенность, что эта гадость еще в системе.
      Помогите, пожалуйста,  вычислить и остатки подчистить.
      Файлы понятное дело уже потеряны.
      CollectionLog-2020.03.01-21.41.zip
    • tolevich
      Зашифрованы файлы .harma
      От tolevich
      Здравствуйте, сегодня зашел на сервер по RDP а там все файлы зашифрованы и имеют расширение .harma, прилагаю файл от  Farbar Recovery Scan Tool Прошу помочь с решением данной проблемы
       
      FRST.txt
      CollectionLog-2020.01.21-10.15.zip
×
×
  • Создать...