Перейти к содержанию

Зашифрованы файлы. В расширении присутствует "cl_crypt@aol.com"


Рекомендуемые сообщения

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com
"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7z FRST.7z

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Закройте и сохраните все открытые приложения.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
File: C:\Windows\System32\svсhоst.exe
Zip: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
HKLM\...\StartupApproved\StartupFolder: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "C:\Users\jenya\AppData\Roaming\Info.hta"
HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta"
Reboot:
End::

 

  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 


На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке через данную форму.

 

Шифровальщик похоже из семейства в Dharma, насколько мне известно расшифровки нет.

При наличии лицензии на антивирус Касперского попробуйте создать запрос:

Ссылка на сообщение
Поделиться на другие сайты

cl_crypt@aol.com

12 часов назад, ArataKun сказал:

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com
"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7zНедоступно FRST.7zНедоступно

Точно такая же история, id-DBE17551.

штатный "ЗАЩИТНИК" определил как Ranson:Win32/wadharma!hoa

файл exploit.exe закрыл в карантин. Если нужен могу выцарапать.

 

Ссылка на сообщение
Поделиться на другие сайты

@koa1982, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Приложил Fixlog.txt.

Что касается <date>.zip, то архив у меня с нулевым весом. Видимо, пустой. Да и при загрузке по форме выдаётся "Ошибка загрузки. Данный файл уже был загружен".

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Видимо шифровальщик зачистил свои следы.

Как ранее было сказано, расшифровки нет на данный момент.

Если будете пробовать обращаться в тех. поддержку ЛК, сообщите пожалуйста результат тут.

 

Ссылка на сообщение
Поделиться на другие сайты

Покупать ради этого лицензию Касперского я не буду хотя бы потому, что шансы на расшифровку крайне малы. Так что в моём случае данные утеряны безвозвратно. Благодарю за помощь.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От triumf1975
      Здравствуйте, Всем.
      06.0912 нам зашифровали все файлы - *.id-1896DF03.[James2020m@aol.com].MUST. и так далее. Соответственно пострадали и базы 1с7. хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   



      Addition.txt FILES ENCRYPTED.txt FRST.txt
    • От Yannikov
      На компьютере пользователя был запущен вирус-шифровальщик  Trojan-Ransom.Win32.Crusis.to. Вирус удалить удалось, но вот расшифровать файлы не получается. У всех зашифрованных файлов расширение rp09. 
      Пробовал расшифровать файлы с помощью RakhniDecryptor, т.к. в описании этого шифровальщика увидел, что он расшифровывает файлы, которые были зашифрованы вирусом Trojan-Ransom.Win32.Crusis (Dharma), но выборе зашифрованного файла пишет неверное расширение, причем указывает расширение не pr09, а .com]
      Название зашифрованного файла 
      Лист Microsoft Excel.xlsx.id-BCCA8E4F.[khfsuca@protonmail.com].pr09
    • От Krash37
      Помогите расшифровать файлы id-********.[eye@onionmail.org].eye,
       
      all your data has been locked us
      You want to return?
      Write email eye@onionmail.org or 1337@onionmail.org
       
      фото папок с вирусом




    • От tomassikora
      Сегодня ночью, зашифровали сервер, примеры зараженных файлов, и текстовый документ прилагаю
      FILES ENCRYPTED.txt примеры.rar
    • От Alex18
      Добрый день!
      Проблема - ночной взлом (как я понимаю через rdp), вирус зашифровал данные на дисках.
      Прошу помощи в расшифровке или хотя бы подсказать что делать.
      Также имеется пара файлов - зашифрованный и не зашифрованный.
      Спасибо!
      files.zip Addition.txt FRST.txt
×
×
  • Создать...