Решена с расшифровкой. Расшифровка cryakl 1.5.1.0

[anyaspid]

Доброго дня, уважаемые. Помогите пожалуйста в расшифровке.
Формат имен: email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-%ОРИГИНАЛЬНОЕ_ИМЯ.ОРИГИНАЛЬНОЕ_РАСШИРЕНИЕ%.doubleoffset

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

В догонку

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\admin\pictures\ruka.exe');
 QuarantineFile('c:\users\admin\pictures\ruka.exe','');
 DeleteFile('c:\users\admin\pictures\ruka.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

[anyaspid]

Спасибо, правда Quarantine оказалась пустой, отправил quarantine.7z на всякий случай.
Запрошенные файлы: Файл из Облака Mail.Ru

 

[akok]

Не нужно было все в один архив. Разобрал сам.

 

[akok]

Меняйте пароли на RDP и проверьте список пользователей на предмет лишних лиц.
Порты сами пробрасывали?
FirewallRules: [{AAE89D8E-BD1B-40C8-AE7A-09CF749E9A07}] => (Allow) LPort=19400
FirewallRules: [{5F59B6BB-3B9F-4AF3-9657-4337F84E6986}] => (Allow) LPort=19401
FirewallRules: [{48203464-EC2D-4C66-82BD-B45BF3012208}] => (Allow) LPort=19404
FirewallRules: [{6525ECA1-907A-4A93-B07B-72C266B025C3}] => (Allow) LPort=19405

Знакомо
Имя: HackTool:Win32/RemoteAdmin
file:_C:\Users\Public\Pixologic\GoZApps\Maya\netcat\nc.exe
Имя: HackTool:Win32/Mikatz!dha
C:\Users\Admin\Pictures\mimi\86.exe

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Downloads\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Documents\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Desktop\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\Roaming\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\LocalLow\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Downloads\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Documents\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Downloads\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Documents\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Desktop\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\Roaming\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\README.txt
  2019-06-25 01:07 - 2019-06-25 01:07 - 000000056 _____ C:\Users\Krashenov\AppData\LocalLow\README.txt
  2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Все пользователи\README.txt
  2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\ProgramData\README.txt
  2019-06-25 01:06 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Desktop\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000001253 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-25 01:06 - 2019-06-25 01:06 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Downloads\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Documents\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Desktop\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Documents\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Downloads\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Documents\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Desktop\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\Roaming\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\LocalLow\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ C:\Program Files\README.txt
  2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ C:\Program Files (x86)\README.txt
  2019-06-25 01:04 - 2019-06-25 01:04 - 000000056 _____ C:\Program Files\Common Files\README.txt
  2019-06-25 01:01 - 2019-06-25 01:08 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
  2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files\README.txt
  2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files (x86)\README.txt
  2019-06-25 01:04 - 2019-06-25 01:04 - 000000056 _____ () C:\Program Files\Common Files\README.txt
  2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
  2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ () C:\Users\Krashenov\AppData\Roaming\README.txt
  2019-06-25 01:07 - 2019-06-25 01:07 - 000000056 _____ () C:\Users\Krashenov\AppData\Roaming\Microsoft\README.txt
  2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ () C:\Users\Krashenov\AppData\Local\README.txt
  AlternateDataStreams: C:\ProgramData\Reprise:lgylqfxlctqffeusff`npefmfs`joejfpfh [0]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:lgylqfxlctqffeusff`npefmfs`joejfpfh [0]
  FirewallRules: [{66B3C860-3EE4-4AE1-85C7-D01F90C00ADA}] => (Block) %ProgramFiles%\SpeedTree\SpeedTree Games Indie v8.4.0\win64\SpeedTree Modeler Games Indie.exe No File
  FirewallRules: [{CBC1D7A3-AEB1-4450-B10C-B2505B3B01ED}] => (Block) %ProgramFiles%\SpeedTree\SpeedTree Games Indie v8.4.0\win64\SpeedTree Modeler Games Indie.exe No File
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

[anyaspid]

Нет, порты не пробрасывал. RDP пока отключил вовсе, спасибо.

 

[Sandor]

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.

 

[anyaspid]

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.

Доброго дня. К сожалению ничего меньше 800кб пока не нашли.

 

[Sandor]

Проверьте ЛС.

 

[akok]

Тогда закройте перечисленные порты в фаерволле. KVRT успешно удалили вредоносное ПО.

 

[anyaspid]

Проверьте ЛС.

В целом - работает, большое спасибо! Однако есть нюансы. В бэкапе парагона проигнорировал все файлы размером около 4Гб. Некоторые файлы пропускает.
Хуже всего с файлами, которые находились на сетевых хранилищах. Там восстанавливается около 50%.

 

[Sandor]

О проблемах с большими файлами нам известно. Подождите некоторое время.
Пока проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[akok]

Обратите внимание, если шифрование запускалось несколько раз, то и ключей будет несколько. Попробуйте подобрать пару из тех, которые были не расшифрованы. Если файлы больше 2 гб, то это известная проблема которая будет исправлена на днях.
Еще вариант скопировать файлы на локальную машину и попробовать расшифровать там, возможно мешает работающая модель прав на файлы сетевого хранилища.