crusis Зашифрованы файлы. В расширении присутствует "cl_crypt@aol.com"

[ArataKun 0]

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7z FRST.7z

[SQ 826]

Здравствуйте,

Закройте и сохраните все открытые приложения.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
File: C:\Windows\System32\svсhоst.exe
Zip: C:\Program Files (x86)\1Cv77\BIN\svchost.exe
HKLM\...\StartupApproved\StartupFolder: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "expIoit.exe"
HKLM\...\StartupApproved\Run: => "C:\Users\jenya\AppData\Roaming\Info.hta"
HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta"
Reboot:
End::

 

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке через данную форму.

 

Шифровальщик похоже из семейства в Dharma, насколько мне известно расшифровки нет.

При наличии лицензии на антивирус Касперского попробуйте создать запрос:

[koa1982 0]

cl_crypt@aol.com

12 часов назад, ArataKun сказал:

Здравствуйте.

На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:

 

"all your data has been locked us
You want to return?
write email cl_crypt@aol.com or cl_crypt2@aol.com"

 

Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.

Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.

Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".

Приложил к письму 2 архива:

1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.

2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).

 

Надеюсь, что мои файлы реально будет расшифровать.

encrypted_files.7zНедоступно FRST.7zНедоступно

Точно такая же история, id-DBE17551.

штатный "ЗАЩИТНИК" определил как Ranson:Win32/wadharma!hoa

файл exploit.exe закрыл в карантин. Если нужен могу выцарапать.

 

[Sandor 991]

@koa1982, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

[ArataKun 0]

Приложил Fixlog.txt.

Что касается <date>.zip, то архив у меня с нулевым весом. Видимо, пустой. Да и при загрузке по форме выдаётся "Ошибка загрузки. Данный файл уже был загружен".

Fixlog.txt

[SQ 826]

Видимо шифровальщик зачистил свои следы.

Как ранее было сказано, расшифровки нет на данный момент.

Если будете пробовать обращаться в тех. поддержку ЛК, сообщите пожалуйста результат тут.

 

[ArataKun 0]

Покупать ради этого лицензию Касперского я не буду хотя бы потому, что шансы на расшифровку крайне малы. Так что в моём случае данные утеряны безвозвратно. Благодарю за помощь.