# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.567]  версии 6.1.0.0.b

## sergh1970

Пишу программу по дешифровке файлов зашифрованных этим вирусом.
Столкнулся со сложностью. Мне попалось всего три компьютера зараженных этой пакостью.
Файлы расшифровал, компьютеры забрали. 
Для дальнейшей отладки программы, чтобы она могла все расшифровывать самостоятельно без моего вмешательства мне необходимы зашифрованные файлы. 
Файлы нужны большими массивами (>1000шт.) зашифрованными одним ключем.
По двум, трем файлам ключ не восстановишь. 
Обычно это не проблема т.к. вирус на любом компьютере только системных, программных файлов шифрует не одну тысячу.
Тем, кто откликнется буду предоставлять дешифратор с восстановленным  ключом к их компьютеру.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexander Kolchanov

есть файлы  -куда слать?

----------


## multiple

аналогично, отправь адрес почты.

----------


## Дмитрий Васильченко

Куда слать фалйы?

----------


## shadowvrn

+1 Вышлю..

----------


## Константин Сюсюкин

Как раз вчера в одной компании поймали этот вирус на 2 пк, скинул ссылку на архив с зашифроваными файлами в личку.

----------


## GoodStory

Также цать тысяч шифрованных программных и системных файлов могу выложить на яндекс-диск.
Ток версия "...ver-4.0.0.0.cbf", пойдет?  :Smiley:

----------


## sergh1970

*GoodStory*, извините но версия 4.0.0.0 сейчас уже не актуально.

----------


## GoodStory

Неактуально в каком смысле? Типа победили четвертую версию?  :Smiley: 
Или неактуально для вас, т.к. исследуете именно 6.1.0.0.b?

----------


## sergh1970

*GoodStory*, потому что исследую 6.1.0.0.b

----------


## shadowvrn

Ссылка в личке...

----------


## ekinci

Отправил на почту!

----------


## Alexander Kolchanov

Монстр. Все расшифровалось. Спасибо!

----------


## ekinci

> Монстр. Все расшифровалось. Спасибо!


А по времени долго получилось???

----------


## TATIA

Здравствуйте! Помогите расшифровать файлы, зашифрованные трояном. Могу прислать очень много файлов. Все файлы имеют расширение:[email protected]

----------


## thyrex

*TATIA*, у Вас совершенно иной тип шифрования

----------

*olejah*

----------


## Alexander Kolchanov

> А по времени долго получилось???


3 дня, 2500 файлов отправил
чем больше файлов - тем быстрее. Видать таблицу мастер-ключа проще составлять. Вероятности выше и комбинаций больше

----------


## Marat0ss

> 3 дня, 2500 файлов отправил
> чем больше файлов - тем быстрее. Видать таблицу мастер-ключа проще составлять. Вероятности выше и комбинаций больше


Все файлы 100 % расшифровались? Не осталось поврежденных или пустых? Где-то была инфа, что после покупки дешифратора у злоумышленника часть данных криво расшифровалась.

----------


## sergh1970

*Marat0ss*, Естественно на 100%, файлы расшифровывались с родным мастер-ключем.
Вирус - бывает не дописывает информацию в конце, и тогда файл расшифровать невозможно.
Часто вирус шифрует файл, а название не меняет. Такие файлы надо искать по содержимому.
{CRYPTENDBLACKDC} и переименовывать в cbf. После перезагрузки вирус такие файлы  шифрует 
по второму разу с другим ключем.
Единственный глюк у дешифратора, если в папке уже есть файл с таким именем, он не меняет название у 
расшифрованного файла. Но на практике такое маловероятно.

----------


## TATIA

> *TATIA*, у Вас совершенно иной тип шифрования


А возможно ли расшифровать такие файлы?

----------


## Gideon

то-есть даже если я прогоню на нашем компе Search keys.exe и отправлю на форум data.ini, все равно никто помочь не сможет и это нисколько не поспособствует ускорению процесса дешифрации. Я правильно понял? :Sad:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergh1970

Правильно.

----------


## Konstantin_L

> Вся проблема с этим вирусом в подборе этих трех RSA ключей.


Метод терморектального криптоанализа бы очень помог, попадись кто-то из организаторов....

Ещё одна контора поймала шифровальщик этой версии. Тело письма и адрес ещё ищут, пока есть лог DrWeb:

C:\Users\<USERNAME>\Downloads\Список документов для ФНС.zip\Список документов для ФНС договора акты приема-передачи счета Согласовано зам глав_бух - аttасhmеnt_Dr.Wеb_Sсаnnеd -- OK.dосx .js - infected with BAT.Encoder.34

js файл, притворившийся документом. Меня смущает 2 вещи:
1) я не смог найти тело вируса в логах/процессах после перезагрузки. Шифрование происходит в 1 заход без продолжения после перезагрузки?
2) смущает, что почта (яндекс или Гмэйл) не обнаружило вирус в архиве...

----------


## sergh1970

Если на экране появилась картинка с требованием денег, значит вирус закончил шифрование и удалил себя.

----------


## Konstantin_L

Картинки нет, т.к. шифрование обнаружили быстро и выключили компьютер.

----------


## Aleksey Ryzhakov

> *GoodStory*, потому что исследую 6.1.0.0.b


А как можно определить версию шифровальщика?

----------


## sergh1970

*Konstantin_L*, Значит он еще работает. Можно в реестре посмотреть в RUN параметр PR

*Aleksey Ryzhakov*, Версия есть в названии зашифрованных файлов, например CL-1.0.0.0

----------


## Konstantin_L

> *Konstantin_L*, Значит он еще работает. Можно в реестре посмотреть в RUN параметр PR


В процессах не детектится, файлы не изменяются.

----------


## sergh1970

Создайте тему в разделе Помогите. 
Специалисты посмотрят по логам и скажут осталось там чего или нет.

----------


## Raffon

Одна фирма тоже поймала [email protected]-CL 1.1.0.0, из двух баз 1С 8.2 одна восстановилась по этому способу - http://virusinfo.info/showthread.php?t=185604, вторая повреждена. Dr Web сказал до свидания. [email protected] - говорит 1 Btc...

----------


## Аспартач

Здравствуйте. Вчера схватил вирус-шифровальщик. После обращения в др. Вэб получил ответ: "Здравствуйте. Зашифровано одним из новых вариантов Trojan.Encoder.567 На данный момент способов расшифровать такое не известно." Глупый вопрос: Можно это расшифровать?

----------


## sergh1970

Нет, это расшифровать невозможно.

----------


## Аспартач

> Нет, это расшифровать невозможно.


А что подскажете, есть какие-нибудь пути кроме форматирования дисков?

----------


## sergh1970

Перепишите все зашифрованные файлы в отдельную папку
и ждите лучших времен. Может кто нибудь что нибудь придумает
и файлы удастся расшифровать.

----------


## Аспартач

Благодарю за ответы. А вариант заплатить шифровальщику рассматривать или это совсем гиблое дело?

----------


## sergh1970

Не знаю. Не пробовал.

----------


## Konstantin_L

> Благодарю за ответы. А вариант заплатить шифровальщику рассматривать или это совсем гиблое дело?


Сам не платил, но у меня есть информация от коллег, что обычно не кидают и всё восстанавливается. Торг, по моей информации, тоже уместен. Платить или нет - тут вопрос в ценности информации, которую потеряли.

----------


## mike 1

> Здравствуйте. Вчера схватил вирус-шифровальщик. После обращения в др. Вэб получил ответ: "Здравствуйте. Зашифровано одним из новых вариантов Trojan.Encoder.567 На данный момент способов расшифровать такое не известно." Глупый вопрос: Можно это расшифровать?


Теоретически возможно. Если распределить вычисления между группой мощных компьютеров, то через какое-то время можно сбрутить RSA ключи. Мощности найти думаю возможно, т.к. пострадавших от этого шифровальщика довольно много. Другое дело, что потребуется помощь от пострадавших пользователей.

----------


## Артем Шамшура

*sergh1970*, добрый день, подскажите - с такими файлами помогаете - 
[email protected]-CL 1.2.0.0.id-QTWADGJMPSVYBFIKORUXADGKMPTWYCFHLOQU-05.11.2015 [email protected]@479661647.randomname-LORUYCFHL...VZCFILORVY.BEH

----------


## sergh1970

*Артем Шамшура*, к сожалению нет.

----------


## Артем Шамшура

> *Артем Шамшура*, к сожалению нет.


Не в курсе, бывают ли какие-то варианты поправить это? 

Если важные файлы сохранить, так сказать до лучших времен, в каком виде их лучше хранить? не будет ли от них опасности распространения этой заразы опять?

Или просто полное форматирование и переустановка системы? 

Впервые с таким столкнулся, не очень понимаю, как все это затереть так, чтобы после переустановке системы не всплывало опять.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergh1970

С этим вирусом вся проблема в подборе трех RSA ключей.
С этим смогут справиться только крупные конторы типа Лаборатории Касперского.
Но это только вопрос времени.

Зашифрованные файлы никакой опасности не представляют.
Никакой заразы в них нет.
В каждом зашифрованном файле записаны ключи для дешифровки,
но они зашифрованы в свою очередь тремя RSA ключами.

Скиньте все зашифрованные файлы в отдельную папку, с сохранением структуры каталогов,
или заархивируйте. И ждите лучших времен.

----------


## Артем Шамшура

> С этим вирусом вся проблема в подборе трех RSA ключей.
> С этим смогут справиться только крупные конторы типа Лаборатории Касперского.
> Но это только вопрос времени.
> 
> Зашифрованные файлы никакой опасности не представляют.
> Никакой заразы в них нет.
> В каждом зашифрованном файле записаны ключи для дешифровки,
> но они зашифрованы в свою очередь тремя RSA ключами.
> 
> ...


Спасибо за лекбез! )

----------


## Jehy

Добрый день. Создал уже тему на помощь http://virusinfo.info/showthread.php?t=192986 - но вроде здесь как раз это добро активно обсуждается.
Есть зашифрованные базы 1С, тело вируса и шифровальщик [email protected]-CL 1.0.0.0 - есть шансы расшифровать?

----------


## sergh1970

Нет. Я помочь не смогу.
С этим вирусом вся проблема в подборе трех RSA ключей.
С этим смогут справиться только крупные конторы типа Лаборатории Касперского.

----------


## limbo2002

*sergh1970*, Здравствуйте, подскажите - с такими файлами помогаете - 
abdefghijklm.nop.id-{YZZABCDDDEEFGGHHHIJJKLLLLMNNOPPQQQRR-05.03.2015 [email protected]@441137148}[email protected]

----------


## sergh1970

Ответил в личку.

----------


## Мишан Елисеев

Добрый день. А файлы такого вида поддаются дешифровке?
[email protected]-CL 1.2.0.0.id-DTVJCVMDXOGXZQZPCTSISIIYAQGGBLCSBRQH-01.02.2016 [email protected]@193282829.randomname-QPUPSMMNHZ...QPXFYX.YVN.cbf

----------


## sergh1970

Нет не поддаются.

----------


## opium_ice

Всем привет! Есть шанс расшифровать файлы такого шифровальщика dfgijlmnpqsu.wya.id-{ACCDEFGHHIIJKLLMMNOPQQQRSTUUUVWXYYZZ-12.02.2015 [email protected]@271627452}[email protected]
Спасибо.

----------


## sergh1970

*opium_ice*, ответил в личку

----------


## shyr

Могу я попросить прислать файл вирус или письмо для изучение вируса и методов дешифрования. Спасибо

----------


## sergh1970

*shyr*, вирус, которому посвящена эта тема окончил свое существование год назад.
Зачем Вам такое старье изучать.

----------


## Petr Zakharov

Всем привет!
Можете помочь с расшифровкой файлов после шифровальщика [email protected] ?

----------


## sergh1970

*Petr Zakharov*, ответил в личку

----------


## Владимир124

Доброго времени суток! словил вирус, файлы pdf/jpg зашифровались, в конце названия каждого файла добавилось расширение .cripttt . В каждой папке с зажифрованными файлами появился текстовый документ SHTODELATVAM , со следующим содержанием : " Напишите нам для разблокировки Ваших файлов: [email protected] "
Просят 100долларов за расшифровку. 

Сделал проверку



Malwarebytes Anti-Malware
www.malwarebytes.org

Дата проверки: 20.03.2016
Время проверки: 22:22
Файл журнала: лог после удаления.txt
Администратор: Да

Версия: 2.2.1.1043
База данных вредоносных программ: v2016.03.20.05
База данных руткитов: v2016.03.12.01
ОС: Windows 7
Процессор: x64


Проверено объектов: 557809
Затраченное время: 1 ч, 44 мин, 35 с
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Включено
PUM: Включено

Процессы: 0
(Вредоносные программы не обнаружены)

Модули: 0
(Вредоносные программы не обнаружены)

Разделы реестра: 19
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\INTERFACE\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{47A1D  F02-BCE4-40C3-AE47-E3EA09A65E4A}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{47A1D  F02-BCE4-40C3-AE47-E3EA09A65E4A}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\TYPELIB\{1112F282-7099-4624-A439-DB29D6551552}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\INTERFACE\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{FA7B2  795-C0C8-4A58-8672-3F8D80CC0270}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{FA7B2  795-C0C8-4A58-8672-3F8D80CC0270}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{1112F28  2-7099-4624-A439-DB29D6551552}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{1112F28  2-7099-4624-A439-DB29D6551552}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\OCComSDK.ComSDK.1, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\OCComSDK.ComSDK, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\OCComSDK.ComSDK, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\OCComSDK.ComSDK, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\OCComSDK.ComSDK.  1, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\OCComSDK.ComSDK.  1, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.OpenCandy, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 

Значения реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Папки: 0
(Вредоносные программы не обнаружены)

Файлы: 9
PUP.Optional.OpenCandy, C:\Users\Владимир\AppData\Local\Temp\HYD9BE1.tmp.1  449101967\HTA\3rdparty\OCComSDK.dll, Помещено в карантин, [23e277132d6cb185a6aa3fd215f0b14f], 
PUP.Optional.APNToolBar, G:\АВГ\Notification\avg_ask_tb.exe, Удалить при перезагрузке, [7c89eb9fa7f2b48240335ee3f110827e], 
HackTool.Agent, G:\scanXLpro\scanxlpro_v3.xx_unipatch.exe, Помещено в карантин, [42c3fe8ca2f7d95d9fc3d135a15f6f91], 
PUP.Optional.OpenCandy, F:\cnfhfz cbcntvf рабочий стол 10\Рабочий стол\kmp.exe, Помещено в карантин, [9e6717730b8e3cfa1850d065b550f60a], 
RiskWare.Tool.HCK, F:\Adobe Photoshop Lightroom CC 2015.3 (6.3) Final Ml_Rus\adobe.snr.patch-painter v.1.4\adobe.snr.patch-painter.exe, Помещено в карантин, [a95c24666e2b40f625ddf22d27da6e92], 
Trojan.Agent.Drop, F:\программы установочные файлы\Snagit.exe, Помещено в карантин, [e025a7e3dbbe0432b73690eaae541ee2], 
PUP.Optional.SweetIM, F:\программы установочные файлы\BundleSweetIMSetup.exe, Помещено в карантин, [689d28628f0aed49d87530057392a35d], 
PUP.Optional.DealioTB, F:\программы установочные файлы\дрова\Media.Player.Codec.Pack.V3.3.1.Setup.e  xe, Помещено в карантин, [778ef892ecad3bfb5c4e310ad62fca36], 
PUP.Optional.InstallCore, F:\сцепление\winzip19-lan.exe, Помещено в карантин, [2ed7abdf57427db908d9352ec53c4bb5], 

Физические сектора: 0
(Вредоносные программы не обнаружены)


Что это за вирус и есть ли возможность расшифровать? могу прислать зашифрованные файлы, так же могу найти оригинальные изображения и их зашифрованную версию. Предшествовало всему этому скачивание с торрента игры Контр Страйк, сервера к этой игре, ботов и игра на различных серверах.  Больше ничего не скачивал.

----------


## sergh1970

*Владимир124*, создайте тему в разделе Помогите.
С этим вирусом Вам модераторы помогут.

----------


## mike 1

Владимир124 это Xorist.

----------


## thyrex

Это не Xorist  :Smiley:

----------


## Владимир124

> Владимир124 это Xorist.


К сожалению, не помогла программа  от Касперского, посвященная этому вирусу( какой-то он свежий, видимо.

----------


## thyrex

Вам по-русски написали



> создайте тему в разделе Помогите.
> С этим вирусом Вам модераторы помогут.


Тем более



> Это не Xorist

----------

*mike 1*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

> К сожалению, не помогла программа  от Касперского, посвященная этому вирусу( какой-то он свежий, видимо.


Расшифровка возможна.

----------


## alexishuk

Добрый день. Словили данную пакость. Все файлы изображений зашифрованы в формате
aceghjllnpqs.uvw.id-{KMOPRTUVXYZACCDFGHIKLMNPPQSTUVXYZACD-06.04.2015 [email protected]@025739941}[email protected]
можете помочь?

----------


## sergh1970

Для восстановления ключа нужно около двух тысяч зашифрованных файлов.
Заархивируйте файлы, архив залейте на любое облако или файлобменник
и скиньте мне ссылку на архив в личку.

----------


## alexishuk

2000 и более? хорошо. сейчас озадачусь.
подскажите. как этот троян мог попасть на комп?
почта, флешка, линк в инете?

----------


## sergh1970

Обычно шифровальщики по почте рассылают.
Какая Вам теперь разница?
Уже год прошел с момента шифрования.

----------


## gis23

Приветствую, поможете с файлами вида:
bgjnruxbfilo.twz.id-{CFILORUWZCEIKNQSWYBEGJMOSUXADGILOQTW-12.12.2014 [email protected]@507168861}[email protected]
ссылка на 2000-3000 шифрованных файлов

----------


## sergh1970

*gis23*, посмотрите личку

----------


## sergh1970

*gis23*, проверьте личку

----------


## Progex

Добрый день. Почитал на форуме что вы многим помогаете с расшифровкой.
Файлы теперь : [email protected][email protected] 1.0.0.0.u.id-HIIJKLMMMNOOPQRRRSTTUVVVWXXYZAAABCCD-16.08.2016 [email protected]@[email protected]@@@@94C1-8E19.random...YZAABCDEFG.HIJ
Пришел вирус в эл письме. (Так понял что это 567 но могу ошибаться )
Зашифрованные файлы выложил в архиве в облако (Отправил ссылку в ЛС)

----------


## sergh1970

*Progex*, Написал в личку. Извините но с новыми версиями помочь ничем не могу.

----------


## mike 1

> Файлы теперь : [email protected][email protected] 1.0.0.0.u.id-HIIJKLMMMNOOPQRRRSTTUVVVWXXYZAAABCCD-16.08.2016 [email protected]@[email protected]@@@@94C1-8E19.random...YZAABCDEFG.HIJ


А в имени файла почта точно Яндекса указана?

----------


## sergh1970

Точно указана. Тоже удивился.
[email protected][email protected] 1.0.0.0.u.id-HIIJKLMMMNOOPQRRRSTTUVVVWXXYZAAABCCD-16.08.2016 [email protected]@[email protected]@@@@94C1-8E19.random...VWXYZA.BCD.cbf

----------


## cherednuk1

*sergh1970*, я писала Вам недели три назад в ЛС. Помогите пожалуйста с шифровальщиком 2015 года (май):
[email protected]-CL 0.0.1.0.id-GIIJKKKLMMNOOPPPQQRSSTTTUUVWWXYYYZZA-21.05.2015 [email protected]@027148400.randomname-ACDEFGHHH...QQQRRS.TUU.cbf
зашифрованы форматы jpg, cdr, и часть png...похоже и остальное бы зашифровал, но я успела его убить.
читала на форуме, что Вы справлялись с этой пакостью. 
Очень нужна Ваша помощь.

----------


## sergh1970

*cherednuk1*, с версией CL 0.0.1.0 я справиться не могу.
Мой метод расшифровки работает только с 6,7 версиями.

----------


## askad

Нужна помощь  в расшифровке файлов от Trojan-Ransom.Win32.Cryakl.anq Trojan-Ransom.Win32.Cryakl.any
названия зашифрованного файла пример: [email protected][email protected] 1.3.1.0.id-LMMNOOPQRRSTTTUVVWXXXYZZABCCCDDEFGGG-10.10.2016 [email protected]@[email protected]@@@@3AF7-D4C6.random...RSSTTU.VWX.xxx

----------


## sergh1970

С версией CL 1.3.1.0 помочь ничем не смогу.

----------


## gandrey

> С версией CL 1.3.1.0 помочь ничем не смогу.


Подскажите пожалуйста, с версией 1.3.1.0 ничего не изменилось? Помочь не сможете? И еще один вопрос - это более новая версия шифровальщика по сравнению с 6.1.0.0?

----------


## sergh1970

CL 1.3.1.0 пока самая новая версия шифровальщика,
а версии 6.1.0.0 уже два года исполнилось.

----------


## gandrey

> CL 1.3.1.0 пока самая новая версия шифровальщика,
> а версии 6.1.0.0 уже два года исполнилось.


А вы сталкивались с данным шифровальщиком? чем он отличается от старых версий кроме длины ключа?

----------


## sergh1970

Для расшифровки этой версии нужны три RSA ключа

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## СергЧ

Добрый день!
Нужна помощь с расшифровкой. Остановили достаточно быстро, в основном системные файлы поел, но и часть документов все же терять не хочется.
В ЛС ссылку на архив скину сейчас. Заранее благодарю.

----------


## sergh1970

*СергЧ*, ответил в ЛС

----------


## СергЧ

Спасибо! Успешно расшифровал что было пока на своей машинке, вечером зараженную пролечу.
Неплохо бы добавить возможность выбора нескольких файлов или конкретных каталогов (у меня они в одну папку скинуты были,а сейчас как я понял либо один, либо весь диск). В принципе и весь диск быстро пробегает.
В общем еще раз спасибо за столь быструю и качественную помощь!!!

----------


## sergh1970

*СергЧ*, Сейчас уже смысла нет, что то менять в дешифраторе.
Этот вирус-шифровальщик использовали два года назад.
Сейчас зараженных уже не осталось.

----------


## СергЧ

*sergh1970*, Видимо осталось, а у ДрВеба и Каспера дешифратора на эту версию так и нет же до сих пор (по крайней мере я не нашел)... Совершенно случайно поисковик сюда меня привел и, как оказалось, не зря

----------


## sergh1970

У ДрВеба и Каспера дешифратора нет и не будет. 
Для каждого случая ключ нужно подбирать индивидуально.
Для этого нужно около 1000 файлов расшифровать без ключа.
Вирлабам с этим морочиться смысла нет.

----------

