файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Цитата
Армен Кунтов написал:
Доброе время суток!

Можете еще посмотреть один образ автозапуска?


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[DECRYPTHELP@QQ.COM].ARROW
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[DECRYPTHELP@QQ.COM].ARROW
delall %Sys32%\1TASK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него
Изменено: viktor tarasov - 05.07.2018 00:43:23
Цитата
viktor tarasov написал:
Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него

судя по образам:
buh-mer-gb чист, или уже очищен о тел шифратора.
-------------
UX чист, или уже очищен о тел шифратора.
-------------
MEREDIAN-AD чист, или уже очищен о тел шифратора.

сервис C:\AA_3V.EXE если был установлен не вами следует удалить.
Win32/RemoteAdmin.Ammyy.B potentially unsafe
Program.RemoteAdmin.758
--------------
+
На системе: UX
майнер\ы:
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE
Цитата
RP55 RP55 написал:
+
На системе: UX
майнер\ы:
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE

по очистке UX от прочих тел:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
дравствуйте.
Зашифровали файлы, расширение у файлов .castor-troy-restore@protonmail.com.java, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
http://rgho.st/8LRwq6vKR Зашифрованный файл.
http://rgho.st/6Jnp6BbMS Образ.
@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).
Цитата
@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).
Сегодня Зашифровали.
Спасибо
Изменено: Edward Kan - 17.07.2018 12:18:00
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
---------
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.
Цитата
santy написал:
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.
Хорошо проверю.
спс
Читают тему (гостей: 1)