Решена без расшифровки Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-

[Сергей З.]

Как расшифровать данные после вируса email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-... ?
Как очистить ОС Windows от вируса.

Люди добрые помогите решить вопрос, особенно задачу по расшифровке!

 

[Sandor]

Здравствуйте!

Выполните порядок запроса о помощи для этого раздела.

 

[Сергей З.]

Выполнил.
Посмотрите пожалуйста.

 

[akok]

Это Cryakl, восстанавливайте данные из резервных копий, дешифровщика для него пока нет. Мы можем только дочистить следы.

У вас тут майнер для полного счастья работает

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Users\Public\AppData\Roaming\Microsoft\Licenses', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\conhost.exe','64');
DeleteFile('C:\Users\Public\AppData\Roaming\Microsoft\Licenses\envtools.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x64');
DeleteSchedulerTask('SystemDiagnostics');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
end.

Компьютер перезагрузите сами когда будет возможность

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Сергей З.]

Спасибо!
Нужна дешифровка. Можете помочь (написать дешифвровщик или выкупить у хакера противоядие?)

 

[akok]

написать дешифвровщик или выкупить у хакера противоядие?

1. Большие вирлабы не могут справится с задачей довольно долгое время.
2. Увы с преступниками не работаем, если есть необходимость, то напишите самостоятельно. Ну и обратитесь в правоохранительные органы.

 

[Сергей З.]

Как это не могут?! А это что:

На Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками Trojan‑Ransom.Win32.Rakhni есть информация что Kaspersky RakhniDecryptor побеждает Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.
У меня как раз он!
На сайте Возвращение Фантомаса, или как мы расшифровали Cryakl есть инфа, что решили вопрос с CL 1.3.1.0 и следующими ящиками:
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com

С кем связаться, чтобы решить вопрос для ящика "tapok@tuta.io" т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?

 

[Sandor]

К сожалению, они (злоумышленники) не спят и постоянно обновляют версии. Вышеперечисленное подходит только к определенным типам.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку - My Kaspersky (для персональной лицензии) или Kaspersky CompanyAccount (для корпоративной).

 

[Сергей З.]

Понятно.
Отправил quarantine.zip через форму.

 

[akok]

README.txt - сами уберете или скриптом?
TeamViewer - сами устанавливали? Если да, то скрипт можно не выполнять

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  FirewallRules: [{261E1B11-D0C4-401D-BC41-74CF3912513A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
  FirewallRules: [{56D41C04-6698-4318-8753-66CAEED82293}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
  FirewallRules: [{3D4D9759-B198-4C44-8917-72A24FBFE423}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
  FirewallRules: [{3A960582-B542-4DCA-B3D6-E063BB8B30C0}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Сергей З.]

Teamviewer вряд ли ставил.
А в какой программе (avz или frst) нужно было исполнить скрипт?

 

[akok]

Уже выполнили верно

 

[Сергей З.]

Спасибо за помощь!

Мой опыт:
Утилита Kaspersky RakhniDecryptor для борьбы с шифровальщиками не помогла справиться с расшифровкой Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

После достал DECRYPTOR CL1.5.1
(но не было времени и возможности в тот момент заниматься поиском/подбором ключей
т.к. человек, на чьём windows сервере произошло заражение,
торопился решить вопрос как можно быстрее)

Так что, всё-таки пришлось купить за bitcoins у мошенника <tapok@tuta.io>
инструменты для расшифрования всех файлов:
email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@888F-0E17.randomname-...

А именно:
Search keys for Cryakl 1.3.exe
Search keys 2.1 uno for Cryakl 1.5.exe
и desh.zip, который содержал нужный decryptor (decoder decbuild.exe)

Если кому нужна будет помощь, обращайтесь на white.hat.antivirus (эт) gmail (эт) com

 

[Sandor]

Другому пострадавшему это не поможет. Ключи уникальные для каждого случая.