Расшифровка [email protected]. [Trojan-Ransom.Win32.Cryakl.bo ]

Printable View

05.11.2014, 20:25
CrownFreak

Вложений: 3

Расшифровка [email protected]. [Trojan-Ransom.Win32.Cryakl.bo ]

Добрый вечер,
схватили шифровальщика, что тот даже базы 1С зашифровал, не говоря уж а WORD, EXCEL файлах.
За компьютерам была девушка, даже не поняли, как все произошло...
Скидываю логи и очень надеюсь на Вашу помощь!
05.11.2014, 20:26
Info_bot

Уважаемый(ая) [B]CrownFreak[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.11.2014, 22:10
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','');
DeleteFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','32');
QuarantineFile('C:\Program Files (x86)\youfiles\svchost.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files (x86)\youfiles\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFileMask('C:\PROGRA~2\SupTab', '*', true);
DeleteDirectory('C:\PROGRA~2\SupTab');
DeleteFileMask('C:\Program Files (x86)\youfiles', '*', true);
DeleteDirectory('C:\Program Files (x86)\youfiles');
DeleteFileMask('C:\Users\Марина Викторовна\AppData\Local\Schedule', '*', true);
DeleteDirectory('C:\Users\Марина Викторовна\AppData\Local\Schedule');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
06.11.2014, 01:09
CrownFreak

Вложений: 4

[QUOTE=thyrex;1183794]Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','');
DeleteFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','32');
QuarantineFile('C:\Program Files (x86)\youfiles\svchost.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files (x86)\youfiles\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFileMask('C:\PROGRA~2\SupTab', '*', true);
DeleteDirectory('C:\PROGRA~2\SupTab');
DeleteFileMask('C:\Program Files (x86)\youfiles', '*', true);
DeleteDirectory('C:\Program Files (x86)\youfiles');
DeleteFileMask('C:\Users\Марина Викторовна\AppData\Local\Schedule', '*', true);
DeleteDirectory('C:\Users\Марина Викторовна\AppData\Local\Schedule');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL]
Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]
Сделайте [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/URL][/QUOTE]

Высылаю Вам новые логи.
И я обнаружил подозрительный архив Attachment.zip, который я просканировал на virustotal.com и может быть он является источником заражения...
06.11.2014, 01:39
mike 1

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - Global Startup: cimei.lnk = ?
[/CODE]

Удалите в MBAM все, [B][COLOR="#0000FF"]кроме[/COLOR][/B]:

[CODE]
Files: 19
Trojan.Banker, C:\Program Files (x86)\Photo Stamp Remover\StampRemover.exe, , [02994aec314bd165c2fb1e9ae21e06fa],
[/CODE]

[QUOTE]2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
[/QUOTE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[QUOTE]
И я обнаружил подозрительный архив Attachment.zip
[/QUOTE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Удалите файлы:

[QUOTE]C:\Program Files (x86)\Mozilla Firefox\firefox.url
C:\Program Files (x86)\Google\Chrome\Application\chrome.url[/QUOTE]

Пересоздайте ярлыки:

[QUOTE]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[/QUOTE]

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
06.11.2014, 03:47
CrownFreak

Вложений: 3

[QUOTE=mike 1;1183869][B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - Global Startup: cimei.lnk = ?
[/CODE]

Удалите в MBAM все, [B][COLOR=#0000FF]кроме[/COLOR][/B]:

[CODE]
Files: 19
Trojan.Banker, C:\Program Files (x86)\Photo Stamp Remover\StampRemover.exe, , [02994aec314bd165c2fb1e9ae21e06fa],
[/CODE]

Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Удалите файлы:

Пересоздайте ярлыки:

[LIST=1][*]Скачайте [URL="http://virusinfo.info/soft/tool.php?tool=SITLog"]SITLog[/URL] и сохраните архив с утилитой на [B]Рабочем столе[/B] [*]Распакуйте архив с утилитой в отдельную папку [*]Запустите [B]sitlog.exe[/B][INDENT][SIZE=1][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]Да[/B][/SIZE][/INDENT]
[*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B] [*]По окончанию работы программы в папке [B]LOG[/B] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B] [*]Прикрепите эти отчеты в вашей теме. [/LIST]
[/QUOTE]

Данные строчки профиксил.
В MBAM все удалил, но появился еще один троян, который я тоже не стал пока удалять, чтобы ничего не испортить...
Карантины тоже отправил. В пути, прошел по папкам дальше и обнаружил файл svchost.exe, запаковал его в архив и отправил согласно пункту 2 в карантин 2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ\коллегия судебных приставов
Файлов в данных папках нет.
Удалите файлы:

C:\Program Files (x86)\Mozilla Firefox\firefox.url
C:\Program Files (x86)\Google\Chrome\Application\chrome.url

Ярлыки пересоздал
06.11.2014, 11:46
mike 1

[QUOTE]05.11.2014 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
[/QUOTE]
Папку удаляйте. С расшифровкой не поможем. У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.
06.11.2014, 14:08
CrownFreak

[QUOTE=mike 1;1183998]Папку удаляйте. С расшифровкой не поможем. У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.[/QUOTE]

Сказанную Вами папку удалил. Подскажите какой программой можно расшифровать файлы?
И какова вероятность, что они расшифруются?
06.11.2014, 14:12
thyrex

Вам написали
[quote="mike 1;1183998"]У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.[/quote]
06.11.2014, 14:21
CrownFreak

[QUOTE=thyrex;1184082]Вам написали[/QUOTE]

Thyrex, понимаете, вчера списывались со злоумышленником, он просит 10000р. а у нас нет денег ему отправить и не уверены в том что он отправит этот злодейский дешифратор нам, после перевода денег, а у нас на компьютере 1С и все важные документы.... :dash1::dash1:
И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?
06.11.2014, 15:37
mike 1

[QUOTE]И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?[/QUOTE]
1. Покупаете лицензию на год на их антивирус, например здесь [url]http://catalog.allsoft.ru/677/64025[/url].

2. Пишите сюда [url]https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1[/url] запрос и ждете ответа от их техподдержки.
06.11.2014, 15:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \attachment.scr - [B]Trojan-Ransom.Win32.Cryakl.bo[/B] ( BitDefender: Trojan.GenericKD.1961352 )[*] \svchost.exe - [B]Trojan-Ransom.Win32.Cryakl.bo[/B] ( BitDefender: Gen:Variant.Strictor.64596, AVAST4: Win32:Malware-gen )[/LIST][/LIST]