Решена без расшифровки Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-... ?
Как очистить ОС Windows от вируса.

Люди добрые помогите решить вопрос, особенно задачу по расшифровке!
 

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
Это Cryakl, восстанавливайте данные из резервных копий, дешифровщика для него пока нет. Мы можем только дочистить следы.

У вас тут майнер для полного счастья работает

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Users\Public\AppData\Roaming\Microsoft\Licenses', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\conhost.exe','64');
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\envtools.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x64');
DeleteSchedulerTask('SystemDiagnostics');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
end.
Компьютер перезагрузите сами когда будет возможность

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Спасибо!
Нужна дешифровка. Можете помочь (написать дешифвровщик или выкупить у хакера противоядие?)
 

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
написать дешифвровщик или выкупить у хакера противоядие?
1. Большие вирлабы не могут справится с задачей довольно долгое время.
2. Увы с преступниками не работаем, если есть необходимость, то напишите самостоятельно. Ну и обратитесь в правоохранительные органы.
 

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Как это не могут?! А это что:

На Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками Trojan‑Ransom.Win32.Rakhni есть информация что Kaspersky RakhniDecryptor побеждает Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.
У меня как раз он!
На сайте Возвращение Фантомаса, или как мы расшифровали Cryakl есть инфа, что решили вопрос с CL 1.3.1.0 и следующими ящиками:
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com

С кем связаться, чтобы решить вопрос для ящика "tapok@tuta.io" т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
К сожалению, они (злоумышленники) не спят и постоянно обновляют версии. Вышеперечисленное подходит только к определенным типам.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку - My Kaspersky (для персональной лицензии) или Kaspersky CompanyAccount (для корпоративной).
 

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Понятно.
Отправил quarantine.zip через форму.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
README.txt - сами уберете или скриптом?
TeamViewer - сами устанавливали? Если да, то скрипт можно не выполнять

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [{261E1B11-D0C4-401D-BC41-74CF3912513A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{56D41C04-6698-4318-8753-66CAEED82293}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{3D4D9759-B198-4C44-8917-72A24FBFE423}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{3A960582-B542-4DCA-B3D6-E063BB8B30C0}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Teamviewer вряд ли ставил.
А в какой программе (avz или frst) нужно было исполнить скрипт?
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
Уже выполнили верно
 

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Спасибо за помощь!

Мой опыт:
Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками не помогла справиться с расшифровкой Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

После достал DECRYPTOR CL1.5.1
(но не было времени и возможности в тот момент заниматься поиском/подбором ключей
т.к. человек, на чьём windows сервере произошло заражение,
торопился решить вопрос как можно быстрее)

Так что, всё-таки пришлось купить за bitcoins у мошенника <tapok@tuta.io>
инструменты для расшифрования всех файлов:
email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-...

А именно:
Search keys for Cryakl 1.3.exe
Search keys 2.1 uno for Cryakl 1.5.exe
и desh.zip, который содержал нужный decryptor (decoder decbuild.exe)

Если кому нужна будет помощь, обращайтесь на white.hat.antivirus (эт) gmail (эт) com
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Другому пострадавшему это не поможет. Ключи уникальные для каждого случая.
 
Сверху Снизу