Шифратор [email protected] 1.2.0.0 [Trojan-Ransom.Win32.Cryakl.ahh ]

**yurka51** · 08.01.2016, 12:49

Добрый день, под Новый Год пришло счастье в виде шифровщика..

Логи в архиве, пароль 12345

http://rghost.ru/8NCFZSCnx

Заранее благодарны за Вашу помощь и поддержку!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.01.2016, 12:51

Уважаемый(ая) yurka51, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 08.01.2016, 18:18

Логи грузите на форум.

**yurka51** · 10.01.2016, 09:09

логи и зашифрованные файлы в приложении

**mike 1** · 12.01.2016, 01:14

Удаленно зашли. Пароли меняйте.

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**yurka51** · 12.01.2016, 10:46

Логи Universal Virus Sniffer во вложении, пароли заменили.

Так же скорее всего есть исходник шифратора (exe). прикрепить в архиве с паролем?

подскажите пожалуйста, шанс дешифровать есть?

**mike 1** · 13.01.2016, 01:16

Так же скорее всего есть исходник шифратора (exe). прикрепить в архиве с паролем?

По ссылке вверху темы загрузите карантин.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WASPPACER.EXE
addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 48 Wasppacer

addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6C16323947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Tool.DedToolza.1 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\РАБОЧИЙ СТОЛ\DEDTOOLZA.EXE
bl D07FE94DD22E81556D874C9A769F4013 991232
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WINLOGON.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\МОИ ДОКУМЕНТЫ\1.EXE
chklst
delvir

czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог uVS.

**yurka51** · 13.01.2016, 12:28

два карантина отправил:
первый build.exe - вероятный шифровщик
второй согласно скрипта (1.exe весит 60 мб, инсталлятор winlogon, не стал загружать)

логи после выполнения скрипта

**mike 1** · 14.01.2016, 00:56

C:\DOCUMENTS AND SETTINGS\MANAGER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{TNSCULXAZTXEYQTLXPHALDHOZSSZKDGYKCUM-08.03.2015 4@11@006782446}[email protected]

Везет же некоторым админам. Ни чему не учатся. Дедик уже который раз сбрутили.

C:\DOCUMENTS AND SETTINGS\MANAGER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT

Прикрепите.

Выполните скрипт в uVS:

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WASPPACER.EXE
addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 48 Wasppacer

deldir %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8
chklst
delvir

Перезагрузите компьютер. Сделайте новый лог.

**CyberHelper** · 14.01.2016, 01:06

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. d:\cure\canbe\мои документы\build.exe - Trojan-Ransom.Win32.Cryakl.ahh ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Symmi.44013, AVAST4: Win32:Malware-gen )

Шифратор [email protected] 1.2.0.0 [Trojan-Ransom.Win32.Cryakl.ahh ] (заявка № 195461)

Опции темы