Перейти к содержанию

Поймал Шифровальщик Cryakl адресом fairexchange@qq.com


Рекомендуемые сообщения

На сервер поймали шифровальщик судя по логам гл. бух что то скачала, все файлы согласно инструкции приложил.

Addition.txt FRST.txt Sample Pictures.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, для этой версии расшифровки нет. Помощь в очистке системы нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    2021-01-31 15:49 - 2021-01-31 15:49 - 000013918 _____ C:\Users\ГлБух\how_to_decrypt.hta
    2021-01-31 15:49 - 2021-01-31 15:49 - 000013918 _____ C:\Users\ГлБух\Downloads\how_to_decrypt.hta
    2021-01-31 15:49 - 2021-01-31 15:49 - 000013918 _____ C:\Users\ГлБух\Documents\how_to_decrypt.hta
    2021-01-31 15:49 - 2021-01-31 15:49 - 000013918 _____ C:\Users\ГлБух\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-01-31 15:48 - 2021-01-31 15:48 - 000013918 _____ C:\Users\ГлБух\Desktop\how_to_decrypt.hta
    2021-01-31 15:48 - 2021-01-31 15:48 - 000013918 _____ C:\Users\ГлБух\AppData\Roaming\how_to_decrypt.hta
    2021-01-31 15:48 - 2021-01-31 15:48 - 000013918 _____ C:\Users\ГлБух\AppData\LocalLow\how_to_decrypt.hta
    2021-01-31 15:48 - 2021-01-31 15:48 - 000013918 _____ C:\Users\ГлБух\AppData\how_to_decrypt.hta
    2021-01-31 15:47 - 2021-01-31 15:47 - 000013918 _____ C:\Users\ГлБух\AppData\Local\how_to_decrypt.hta
    2021-01-31 15:47 - 2021-01-31 15:47 - 000013918 _____ C:\Users\Public\how_to_decrypt.hta
    2021-01-31 15:47 - 2021-01-31 15:47 - 000013918 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-01-31 15:46 - 2021-01-31 15:46 - 000013918 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2021-01-31 15:46 - 2021-01-31 15:46 - 000013918 _____ C:\ProgramData\how_to_decrypt.hta
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Через Панель управления удалите нежелательное ПО

Цитата

Кнопка "Яндекс" на панели задач

 

Пароли на RDP смените.

Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19399 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено (-1)
и поэтому:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На заметку - Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • aleksey76
    • DanilDanil
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • dampe
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
×
×
  • Создать...