• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка cryakl 1.5.1.0

Статус
В этой теме нельзя размещать новые ответы.

anyaspid

Новый пользователь
Сообщения
5
Реакции
0
Доброго дня, уважаемые. Помогите пожалуйста в расшифровке.
Формат имен: email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-%ОРИГИНАЛЬНОЕ_ИМЯ.ОРИГИНАЛЬНОЕ_РАСШИРЕНИЕ%.doubleoffset
 

Вложения

  • AutoLogger.zip
    103 KB · Просмотры: 1
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
В догонку

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\admin\pictures\ruka.exe');
 QuarantineFile('c:\users\admin\pictures\ruka.exe','');
 DeleteFile('c:\users\admin\pictures\ruka.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
 
Не нужно было все в один архив. Разобрал сам.
 

Вложения

  • Addition.txt
    48.8 KB · Просмотры: 2
  • FRST.txt
    99 KB · Просмотры: 1
Меняйте пароли на RDP и проверьте список пользователей на предмет лишних лиц.
Порты сами пробрасывали?
FirewallRules: [{AAE89D8E-BD1B-40C8-AE7A-09CF749E9A07}] => (Allow) LPort=19400
FirewallRules: [{5F59B6BB-3B9F-4AF3-9657-4337F84E6986}] => (Allow) LPort=19401
FirewallRules: [{48203464-EC2D-4C66-82BD-B45BF3012208}] => (Allow) LPort=19404
FirewallRules: [{6525ECA1-907A-4A93-B07B-72C266B025C3}] => (Allow) LPort=19405

Знакомо
Имя: HackTool:Win32/RemoteAdmin
file:_C:\Users\Public\Pixologic\GoZApps\Maya\netcat\nc.exe
Имя: HackTool:Win32/Mikatz!dha
C:\Users\Admin\Pictures\mimi\86.exe
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Downloads\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Documents\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\Desktop\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\Roaming\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\User\AppData\LocalLow\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Downloads\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Documents\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\Desktop\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\Roaming\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Krashenov\AppData\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ C:\README.txt
    2019-06-25 01:07 - 2019-06-25 01:07 - 000000056 _____ C:\Users\Krashenov\AppData\LocalLow\README.txt
    2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Все пользователи\README.txt
    2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 01:06 - 2019-06-25 01:08 - 000001253 _____ C:\ProgramData\README.txt
    2019-06-25 01:06 - 2019-06-25 01:08 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000001253 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 01:06 - 2019-06-25 01:06 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Documents\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\Desktop\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Documents\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Downloads\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Documents\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\Desktop\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\Roaming\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\Users\Admin\AppData\LocalLow\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ C:\Program Files\README.txt
    2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-06-25 01:04 - 2019-06-25 01:04 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-06-25 01:01 - 2019-06-25 01:08 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files\README.txt
    2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-06-25 01:04 - 2019-06-25 01:04 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-06-25 01:05 - 2019-06-25 01:05 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-25 01:08 - 2019-06-25 01:08 - 000000056 _____ () C:\Users\Krashenov\AppData\Roaming\README.txt
    2019-06-25 01:07 - 2019-06-25 01:07 - 000000056 _____ () C:\Users\Krashenov\AppData\Roaming\Microsoft\README.txt
    2019-06-25 01:06 - 2019-06-25 01:06 - 000000056 _____ () C:\Users\Krashenov\AppData\Local\README.txt
    AlternateDataStreams: C:\ProgramData\Reprise:lgylqfxlctqffeusff`npefmfs`joejfpfh [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:lgylqfxlctqffeusff`npefmfs`joejfpfh [0]
    FirewallRules: [{66B3C860-3EE4-4AE1-85C7-D01F90C00ADA}] => (Block) %ProgramFiles%\SpeedTree\SpeedTree Games Indie v8.4.0\win64\SpeedTree Modeler Games Indie.exe No File
    FirewallRules: [{CBC1D7A3-AEB1-4450-B10C-B2505B3B01ED}] => (Block) %ProgramFiles%\SpeedTree\SpeedTree Games Indie v8.4.0\win64\SpeedTree Modeler Games Indie.exe No File
    
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Нет, порты не пробрасывал. RDP пока отключил вовсе, спасибо.
 

Вложения

  • Fixlog_26-06-2019 05.04.20.txt
    12.2 KB · Просмотры: 1
  • Reports.zip
    1.5 KB · Просмотры: 2
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Доброго дня. К сожалению ничего меньше 800кб пока не нашли.
 

Вложения

  • Documents.zip
    1.4 MB · Просмотры: 1
Проверьте ЛС.
 
Тогда закройте перечисленные порты в фаерволле. KVRT успешно удалили вредоносное ПО.
 
В целом - работает, большое спасибо! Однако есть нюансы. В бэкапе парагона проигнорировал все файлы размером около 4Гб. Некоторые файлы пропускает.
Хуже всего с файлами, которые находились на сетевых хранилищах. Там восстанавливается около 50%.
 
О проблемах с большими файлами нам известно. Подождите некоторое время.
Пока проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Обратите внимание, если шифрование запускалось несколько раз, то и ключей будет несколько. Попробуйте подобрать пару из тех, которые были не расшифрованы. Если файлы больше 2 гб, то это известная проблема которая будет исправлена на днях.
Еще вариант скопировать файлы на локальную машину и попробовать расшифровать там, возможно мешает работающая модель прав на файлы сетевого хранилища.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу