файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 8 9 10 11 12 ... 15 След.
Цитата
Андрей Олениченко написал:
13.04.2018 меня зашифровали
По очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1204.EXE.ID-78033D7F.[RESTOREHELP@QQ.COM].JAVA
delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-78033D7F.[RESTOREHELP@QQ.COM].JAVA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\BUH\DESKTOP\1204.EXE
delref %SystemDrive%\USERS\BUH\APPDATA\ROAMING\1204.EXE
apply

;-------------------------------------------------------------

QUIT

без перезагрузки.
------------
по расшифровке документов смотрите наш комментарий к первому сообщению.
нет по Crysis.java расшифровки на текущий момент. к сожалению.
Посмотрел на файлы от криптера filebackup999@cock.li. Исходные файлы небольшого размера (около мегабайта) он шифрует целиком, а крупные повреждает в трех местах по 256 килобайт. В результате, удалось извлечь интересующие данные из шифрованного бэкапа.
Здравствуйте.
Были зашифрованы все файлы, троян Win32/Filecoder.Crysis, добавленное расширение: id-40DCD218.[tonistark@tutanota.com].bip
Нужен только декодировщик для файлов, систему восстанавливать нет необходимости.
Стандартные декодеры не могут справиться, либо не нашел подходящий.

образ автозапуска
Пример зашифрованного файла PDF
Изменено: Ирек Галимуллин - 31.05.2018 08:41:37
здравствуйте,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[TONISTARK@TUTANOTA.COM].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[TONISTARK@TUTANOTA.COM].BIP
delall %SystemDrive%\USERS\TEZ1ASU2.TEZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[TONISTARK@TUTANOTA.COM].BIP
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[TONISTARK@TUTANOTA.COM].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
ZOO %Sys32%\WINHOST.EXE
delall %Sys32%\WINHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
czoo
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru, support@esetnod32.ru  
------------
расшифровать .BIP в настоящее время не получится.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
Скрипт выполнил с другого ПК
В момент работы UVS, ESS обнаружил Win32/Filecoder.Crysis.P и положил в карантин файл \UVS\ZOO\WINHOST.EXE._AC240398AF8E6EDBCB20A979497C1786F78E4983
Больше в директории UVS\ZOO\ ничего нет
Система работает без видимых изменений, файлы шифруются на лету
Изменено: Ирек Галимуллин - 31.05.2018 11:45:23
поясните, как вы создали образ автозапуска: с winpe
или подключали зараженный диск к чистому компу и запускали uVS соответственно в чистой системе?
+
следует добавить, что систему скорее всего взломали удаленно по RDP.
необходимо исключить возможность подключения из внешней сети к рабочим столам ваших компьютеров кроме доверенных адресов.
остальные подключения заблокировать через фаерволл.
+
обратите внимание, чтобы пароли к учетным записям были сложные,
+
настройте политики безопасности, которые ограничивают возможность перебора паролей.
Подключал зараженный диск к чистому компу и запускал uVS на чистой системе выбрав папку system зараженного диска, применив данный скрипт, после чего подозрительные файлы с автозапуска исчезли.

Да, мне тоже кажется что взлом был по RDP, надо будет глянуть логи подключений если их не потерли.

Исходя из политики старшего администратора сети, пароли очень слабые. Остается использовать дополнительный пароль для входа.
посмотрите примеры политики блокировки учетных записей при неверном вводе пароля. (защита от подбора паролей)
http://tavalik.ru/izmenenie-politiki-parolej-v-windows-server-2012-r2/
Доброго времени суток. Попали под шифровальщик. Расширение: id-2E5DE559.[decrypthelp@qq.com].arrow. Помогите, пожалуйста, с дешифровкой? Или все таки сообщение в шапке по поводу отсутствия лечения arrow - окончательный вердикт? :-(
Изменено: John Berkut - 04.06.2018 09:00:56
@John Berkut,
расшифровки по Crysis.arrow нет. Остальное уже написано в первом сообщении.
если необходима помощь в очистке системы, добавьте образ автозапуска.
Пред. 1 ... 8 9 10 11 12 ... 15 След.
Читают тему (гостей: 2)