Страницы: 1 2 3 4 5 След.
RSS
файлы зашифрованы с расширением .cesar; .arena, Filecoder.Crysis.L
 
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.
добавьте на форум в ваше сообщение несколько зашифрованных документов,
если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
 
скорее всего, это Crysis, новый вариант CEZAR


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\ASPN\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

zoo %Sys32%\SVHOST.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 crysis 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SVHOST.EXE
zoo %SystemDrive%\USERS\ASPN\DESKTOP\SVHOST.EXE
chklst
delvir

delref %SystemDrive%\USERS\ASPN\APPDATA\ROAMING\INFO.HTA
delref %Sys32%\INFO.HTA
apply

deltmp
delref %SystemRoot%\SYSWOW64\SVHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ARM\1.0\ADOBEARM.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\OFFICEC2RCLIENT.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OFFICEBACKGROUNDTASKHANDLER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOIA.EXE
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\KPSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\OCHELPER.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\GROOVEEX.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\IEAWSDC.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\IEAWSDC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\INTERCEPTOR.DLL
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\INTERCEPTOR.DLL
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\NPSPWRAP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\AIR\NPPDF32.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\ONBTTNIELINKEDNOTES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\ONBTTNIELINKEDNOTES.DLL
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\7-ZIP\7-ZIP.DLL
delref %SystemDrive%\PROGRAM FILES\7-ZIP\7-ZIP32.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSOSHEXT.DLL
delref {7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\[CLSID]
delref {82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\LIBREOFFICE 5\PROGRAM\SHLXTHDL\SHLXTHDL.DLL
delref %SystemDrive%\PROGRAM FILES\NOTEPAD++\NPPSHELL_06.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOSB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\MSOSB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\NPSPWRAP.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\ONFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MAPISHELL.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\LIBREOFFICE 5\PROGRAM\SHLXTHDL\PROPERTYHDL.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\VISSHE.DLL
delref HELPSVC\[SERVICE]
delref TABLETINPUTSERVICE\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref NATIVEWIFIP\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref WLANSVC\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\GRAPH.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\EXCEL.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WINWORD.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OUTLOOK.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\VVIEWDWG.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\ONENOTE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\SYSTEM\FM20.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\POWERPNT.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\CSISYNCCLIENT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\LICLUA.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\FILTERS\OFFFILTX.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\VPREVIEW.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OUTLCTL.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VSTO\VSTOEE.DLL
delref %SystemDrive%\PROGRAM FILES\LIBREOFFICE 5\PROGRAM\INPROCSERV.DLL
delref %SystemDrive%\PROGRAM FILES\LIBREOFFICE 5\PROGRAM\SOFFICE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\FILTERS\MSGFILT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\FILTERS\ODFFILT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OSFPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\OFFICESTORAGEHOST.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\CNFNOT32.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VSTO\10.0\VSTOLOADER.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\CLIENT\APPVLP.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOSREC.EXE
delref %SystemDrive%\PROGRAM FILES\LIBREOFFICE 5\PROGRAM\SHLXTHDL\OOOFILT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\EXCELCNV.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MLCFG32.CPL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\PDFREFLOW.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSOXEV.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WORDCONV.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\NAMECONTROLSERVER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\ORGCHART.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OLMAPI32.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OSFROAMINGPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\VVIEWDWG.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\VIEWERPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PDFPREVHNDLR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VSTO\VSTOEE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\1CV81\BIN\COMCNTR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ADOBERFP.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\OSFPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\OFFICESTORAGEHOST.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VSTO\10.0\VSTOLOADER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\1CV81\BIN\1CV8.EXE
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORDIF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\INK\INKDIV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\1CV81\BIN\RADMIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORD32.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACROBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ACCESSIBILITY.API
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\OSFROAMINGPROXY.DLL
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту safety@chklst.ru
------------
 
да почти ничего не изменилось, политики применились которые были (например на запрет запуска exe кроме определенных папок)
И окно как во вложении стало одно, а не четыре.

Файлик ZOO_2017-08-18_13-42-45.7z отправил на почту
fish.png (184.6 КБ)
 
скрипт удалил активные файлы шифратора.
ESET его детектирует как
a variant of Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/5d475a50b338e7b2440717092f876b253c6110f621126d98158b9c­da2efb0bbb/detection

+ этот файл еще вручную удалите:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA

расшифровка файлов пока что невозможна.
сохраните важные документы на отдельный диск, возможно в будущем расшифровка.
а пока что пробуйте восстановить документы из бэкапов, или из точек восстановления.
 
удалил, спасибо за помощь
 
Все файлы получили разрешение *.[molox@keemail.me].arena
Кто-нибудь знает как расшифровать их
 
Цитата
Rus Shakirov написал:
Все файлы получили разрешение *.[ molox@keemail.me ].arena
Кто-нибудь знает как расшифровать их
@Rus Shakirov,
добавьте образ автозапуска системы для проверки и очистки системы.
+
добавьте несколько зашифрованных файлов во вложение.
 
Почему удаляют мои сообщения? Можно в личку.  
 
Цитата
Andrey Predator написал:
Почему удаляют мои сообщения? Можно в личку.  
вопросы по выкупу ключей у злоумышленников здесь не обсуждаются.
 
тогда другой вопрос - я выслал в техподдержку все запрошенные ими файлы документы, картинки и прочее - в ответ полная тишина. как можно узнать - все это дошло по адресу или же ушло в спам или еще куда? номер тикета вашего -  0001195831
речь в тикете идет так же про шифровальщик .arena, если что...  
Страницы: 1 2 3 4 5 След.
Читают тему (гостей: 1, пользователей: 1) Василий Созонюк