• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-

Статус
В этой теме нельзя размещать новые ответы.

Сергей З.

Новый пользователь
Сообщения
7
Реакции
0
Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-... ?
Как очистить ОС Windows от вируса.

Люди добрые помогите решить вопрос, особенно задачу по расшифровке!
 
Выполнил.
Посмотрите пожалуйста.
 

Вложения

  • CollectionLog-2019.01.21-22.33.zip
    57.8 KB · Просмотры: 2
  • report1.log
    740 байт · Просмотры: 0
  • report2.log
    2.7 KB · Просмотры: 0
  • virus_.email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-._about.zip
    240.7 KB · Просмотры: 3
Это Cryakl, восстанавливайте данные из резервных копий, дешифровщика для него пока нет. Мы можем только дочистить следы.

У вас тут майнер для полного счастья работает

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Users\Public\AppData\Roaming\Microsoft\Licenses', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\conhost.exe','64');
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\envtools.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x64');
DeleteSchedulerTask('SystemDiagnostics');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
end.
Компьютер перезагрузите сами когда будет возможность

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Спасибо!
Нужна дешифровка. Можете помочь (написать дешифвровщик или выкупить у хакера противоядие?)
 
написать дешифвровщик или выкупить у хакера противоядие?
1. Большие вирлабы не могут справится с задачей довольно долгое время.
2. Увы с преступниками не работаем, если есть необходимость, то напишите самостоятельно. Ну и обратитесь в правоохранительные органы.
 
Как это не могут?! А это что:

На Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками Trojan‑Ransom.Win32.Rakhni есть информация что Kaspersky RakhniDecryptor побеждает Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.
У меня как раз он!
На сайте Возвращение Фантомаса, или как мы расшифровали Cryakl есть инфа, что решили вопрос с CL 1.3.1.0 и следующими ящиками:
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com

С кем связаться, чтобы решить вопрос для ящика "tapok@tuta.io" т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?
 
К сожалению, они (злоумышленники) не спят и постоянно обновляют версии. Вышеперечисленное подходит только к определенным типам.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку - My Kaspersky (для персональной лицензии) или Kaspersky CompanyAccount (для корпоративной).
 
Понятно.
Отправил quarantine.zip через форму.
 

Вложения

  • FRST.txt
    77.1 KB · Просмотры: 1
  • Addition.txt
    30.9 KB · Просмотры: 1
README.txt - сами уберете или скриптом?
TeamViewer - сами устанавливали? Если да, то скрипт можно не выполнять

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [{261E1B11-D0C4-401D-BC41-74CF3912513A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{56D41C04-6698-4318-8753-66CAEED82293}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{3D4D9759-B198-4C44-8917-72A24FBFE423}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{3A960582-B542-4DCA-B3D6-E063BB8B30C0}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Teamviewer вряд ли ставил.
А в какой программе (avz или frst) нужно было исполнить скрипт?
 

Вложения

  • Fixlog.txt
    3 KB · Просмотры: 1
Уже выполнили верно
 
Спасибо за помощь!

Мой опыт:
Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками не помогла справиться с расшифровкой Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

После достал DECRYPTOR CL1.5.1
(но не было времени и возможности в тот момент заниматься поиском/подбором ключей
т.к. человек, на чьём windows сервере произошло заражение,
торопился решить вопрос как можно быстрее)

Так что, всё-таки пришлось купить за bitcoins у мошенника <tapok@tuta.io>
инструменты для расшифрования всех файлов:
email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-...

А именно:
Search keys for Cryakl 1.3.exe
Search keys 2.1 uno for Cryakl 1.5.exe
и desh.zip, который содержал нужный decryptor (decoder decbuild.exe)

Если кому нужна будет помощь, обращайтесь на white.hat.antivirus (эт) gmail (эт) com
 
Другому пострадавшему это не поможет. Ключи уникальные для каждого случая.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу